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EDITORIAL 


April 2008 


Von 


SL, Zertifikate, Smartcards, IPSec — 

an Sicherheitstechnik herrscht kein 
Mangel. Wer dem neumodischen 
Kram nicht traut, kann immer noch 
den guten alten Safe bemühen. Scha- 
de nur, dass weder aktuelle Informa- 
tionstechnik noch klassische Schlös- 
ser helfen, sobald genügend Geld im 
Spiel ist. 


Gut zu beobachten war das an den 
Vorgängen um den öffentlich hin- 
gerichteten ehemaligen Chef der Post 
und die DVD mit den Kontodaten 
einiger Hundert deutscher Steuer- 
sünder. Für Geld gibt’s letztlich alles. 
Sicher, ein weniger altmodisches 
Geldinstitut hätte vielleicht die 
Inhalte seiner Datenbank verschlüs- 
selt - aber was hätte das geholfen? 
Irgendwann muss irgendwer 
irgendwo immer auf die unverschlüs- 
selten Daten gucken. Und ob er die 
nun abschreibt oder mit seiner 
Handy-Kamera vom Bildschirm ab- 
fotografiert oder den Screenshot per 
Mail verschickt, herausschaffen lässt 
sich Vertrauliches immer, gegebenen- 
falls mit viel Aufwand. Vorausge- 
setzt, die Kasse stimmt. 
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innen zu sehen 


Unter diesem Gesichtspunkt lohnt 
sich der Blick auf die Versprechun- 
gen im Zusammenhang mit der 
Gesundheitskarte. Auf ihr selbst 
werden glücklicherweise kaum rele- 
vante Daten gespeichert. Allerdings 
soll sie als Schlüssel für die Patien- 
ten- und die Fallakte gelten. Sie 
können - nach Zustimmung des 
Patienten — vom Röntgenbild über 
den Befund einer psychischen 
Störung bis zum Ergebnis des HIV- 
Tests vielerlei enthalten. Und so 
manches davon dürfte Versicherun- 
gen ebenso wie zukünftige Arbeit- 
geber interessieren. Zentrale Server 
sollen die Informationen verwalten 
und somit die gesamten verfügbaren 
Gesundheitsdaten eines Menschen 
von überall schnell zugänglich 
machen. Auf dem mickrigen Chip der 
Gesundheitskarte wäre ohnehin kein 
Platz dafür. 


Zwar werden die Informationen ver- 
schlüsselt. Und sicherlich muss sie 
ein Arzt auch ohne Zuhilfenahme der 
Karte des Patienten entschlüsseln 
können. Denn der liegt womöglich 
schon längst im Koma oder hat 
schlicht seine Smartcard nicht mit in 
den Urlaub genommen. Damit steht 
prinzipiell dem Diebstahl der Diagno- 
sen nichts mehr im Weg. Vorausge- 
setzt, die Kasse stimmt. 


Da sich der Datenklau durch Insider 
technisch nicht ausschließen, sondern 
nur erschweren lässt, bleibt nur, mög- 
lichst wenig zu speichern. Für Steuer- 
sünder heißt das, nicht mehr zu sündi- 
gen. Für alle anderen: Röntgenbilder, 
Arztbriefe et cetera weiterhin selber 
auf Papier aufbewahren. Zumal das 
Gesundheitsministerium bislang noch 
verspricht, zum Schutz der Daten 
diene die Verschlüsselung mit dem 
„geheimen Schlüssel“ des Versicher- 
ten. Was die Vermutung nahelegt, 
zum Dekodieren diene der frei 
zugängliche Öffentliche Schlüssel. 
Das wäre dann arg viel Technik für 


gar keinen Schutz. 
Ic 


Hertha 


CHRISTIAN KIRSCH 
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Verteiltes Subversion 


Kontrolle aus der Ferne 


Administratoren ganzer Systemland- 
schaften wie Nutzer einzelner Rechner 
wollen immer und überall auf ihre 
Arbeitsumgebung zugreifen können. 

Das reicht vom einfachen Synchronisie- 
ren über gesicherte Zugänge zum System 
bis hin zum Büro im Netz, in dem Anbieter 
passende Software-Stacks zur Verfügung 
stellen. Eine Marktübersicht ab 


Seite 106 


Als Nachfolger von CVS, dem Concurrent Versions System, konnte Sub- 

version in den letzten Jahren „Karriere“ machen. Mit Version 1.5 hat das 
Versionsverwaltungswerkzeug endlich den überkommenen Zentralismus 

abgeschüttelt und unterstützt auch verteilte Softwareentwicklung. 


Digitale Steiermark 


Vom papierlosen Büro träumt die IT 
seit 20 Jahren - nicht in allen Fällen 
vergeblich. Denn im Landtag Steier- 
mark erfolgt der Schriftverkehr schon 
seit 2005 nur noch in elektronischer 
Form - mit großem Erfolg. Andere 
Parlamente wie der Landtag Branden- 
burg planen mittlerweile Ähnliches. 


Seite 123 


Seite 84 
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Web 2.0 richtig nutzen 


Die Interaktivität des Web 2.0 macht die öffentlichen 
Programmierschnittstellen der großen Websites 

erst richtig attraktiv. Zum Stand der 

Dinge und dem exemplarischen 

Zugriff auf Ebay und 

Facebook 

siehe die 


Seiten 66, /2 


„ Versteckte 
Übertragung 


Dass man Informationen in Bilddateien 

verstecken kann, ist fast schon ein alter Hut. 

Aber Header von IP-Paketen lassen sich ebenfalls für die Übermittlung von 
(geheimen) Zusatzinformationen nutzen. Wie das geht, zeigt der Artikel ab 


Seite 112 
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LESERBRIEFE 


April 2008 


Gesamtrechenleistung ist 
entscheidend 


(SMP-Server: Tigerton vs. Barcelona — Server 
mit Intels und AMDs Quad-Core-CPUs; iX 3/08; 


S.86) 


Mit großem Interesse habe ich ihren Ar- 
tikel gelesen. Aufgefallen ist mir aber 
die Grafik zur Skalierung auf Seite 88, 
dort ist der Balken vom Opteron 2350 
mit 0,74 kürzer als 0,45 von Intel, aber 
auch länger als 0,43. Ich glaube, hier 
liegt ein Fehler vor. Ein anderer Punkt 
ist, dass ich zur Zeit im Rahmen meiner 
wissenschaftlichen Arbeit Rechnungen 
auf unserem Uni-Cluster mit Opteron 
2218 durchführe. Da nun neue Maschi- 
nen mit Intel Xenon E5345 zur Verfü- 
gung stehen, war meine Vorfreude groß. 
Leider zeigte sich jedoch, dass sobald 
man 6 der zur Verfügung stehenden 
8 Kerne nutzt, die Leistung pro Kern un- 
ter der vom Opteron liegt. Ich habe na- 
türlich jeweils möglichst gut für die je- 
weilige CPU optimiert. Einen solchen 
Leistungsabfall konnte ich bei den Op- 
terons nicht erkennen. Ich kann nicht 
wirklich nachvollziehen, warum auf das 
Thema Skalierung so wenig eingegan- 
gen wird und ich lesen kann: 

»»... AMD mit dem Opteron die bes- 
sere Skalierung für sich verbuchen 
kann, Intel die derzeit höhere Rechen- 
leistung der Cores.“ 

Zählt denn nicht die höhere Rechen- 
leistung eines Cores, wenn auch die an- 
deren genutzt werden? Man wird ja 
schließlich keine 8-Kern-Maschine an- 
schaffen, um nur 4 davon zu nutzen, 
oder? Entscheidend ist doch, wieviel 
Gesamtrechenleistung bekomme ich 
pro Maschine. 


NILS HUNTEMANN, KASSEL 


Konfiguration 
nur für Fehlersuche 


(Samba-Tutorial I: Freier CIFS-Server als Stand- 


alone-System; iX 3/08; S. 142) 


In Ihrem Tutorial zu Samba schlägt die 
Beraterin vor, den Parameter für die 
maximale Logfile-Größe auf O (unend- 
lich) zu setzen, weil man so nur in ei- 
ner Datei suchen müsse. Da die von der 
Autorin vorgeschlagene Konfiguration 
ja den Sinn hat, Fehlermeldungen nicht 
durch „wegscrollen“ zu verlieren, man 
die Datei also auch nicht durch andere 
Systemmittel abräumen darf, kann dies 
zum Vollaufen der zugehörigen Parti- 


tion führen, was je nach Konfiguration 
mehr oder minder schwere Folgen ha- 
ben kann. Da sich der Artikel in seiner 
Form vor allem an Anfänger, interes- 
sierte Laien oder Quereinsteiger richtet, 
möchte ich Sie und oder die Autorin 
bitten, in der nächsten Ausgabe auf 
Folgendes hinzuweisen: 

Die von der Autorin vorgeschlagene 
Konfiguration kann bei entsprechender 
Frequentierung des Servers und/oder 
entsprechender Laufzeit des Servers 
durch das Logfile zum Vollaufen der 
dazugehörigen Partition führen. (Ach- 
tung: Die Datei wird auch bei Neustart 
des Services oder Servers nicht abge- 
räumt.) Es sei also darauf hingewiesen, 
dass solcherlei konfigurierte Systeme 
tatsächlich einer regelmäßigen Über- 
prüfung bedürfen, auch/gerade solange 
sie keine Probleme machen. 


IR 


Fax; 0511/53 52-361 
E-Mail: <user>@ix.de 
Web: www.ix.de 


Redaktion iX 
Postfach 61 04 07 
30604 Hannover 


Direktwahl zur Redaktion: 05 11/53 52-387 


Für telefonische Anfragen zu Artikeln, techni- 
schen Problemen, Produkten et cetera steht die 
Redaktion wie gewohnt während der Leser- 
sprechstunde zur Verfügung. Und zwar: 


Montag bis Freitag, 11 bis 12 Uhr 


Bitte nur während der genannten Zeiten 
anrufen und möglichst die angegebene 
Durchwahl benutzen. 


<Durchwahl> <user> 
-387 post Redaktion allgemein 
-377 avr (Andre von Raison) 
-590 ck (Christian Kirsch) 
-387 cle (Carmen Lehmann) 
-374 hb [Henning Behme] 
-379 id (Jürgen Diercks] 
-386 is (Jürgen Seeger] 
-367 ka (Kersten Auel) 
-153 mm (Michael Mentzel) 
-787 mr [Michael Riepe) 
-373 rh (Ralph Hülsenbusch] 
-689 sun [Susanne Nolte) 
-368 un (Bert Ungerer) 
-535 ur (Ute Roos) 
-384 wm (Wolfgang Möhle] 


Listing-Service: 

Sämtliche in iX seit 1990 veröffentlichten Lis- 
tings sind über den iX-FTP-Server erhältlich: 
ftp.heise.de/pub/ix/ 
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Da viele mir bekannte Systeme 
durchaus seit Jahren laufen, ohne jemals 
Probleme zu machen, halte ich es aus 
meiner Erfahrung für sinnvoller, die 
maximale Größe der Logfiles angemes- 
sen an die Größe der zur Verfügung ste- 
henden Partition anzupassen. So ver- 
meidet man ein Vollaufen der Partition 
und minimiert (je nach Platz) das Risi- 
ko, eine Fehlermeldung zu verlieren. 
Darüber hinaus besitzt diese Konfigu- 
ration den Vorteil, dass der/die so kon- 
figurierte/n Server nicht ausgerechnet 
zu einem Zeitpunkt Probleme macht, in 
der man als Admin gerade mit einem 
fehlerhaften System beschäftigt ist, 
dass bei allen anderen Systemen für 
eine u.U. extrem erhöhte Anzahl von 
Logmeldungen führt. 


HOLGER PATZELT 


Sie haben natürlich recht damit, dass 
solch eine Konfiguration ausschießlich 
für einen kurzen Zeitraum (nämlich der 
Fehlersuche) sinnvoll ist. Es ist immer 
schwierig, eine breite Zielgruppe anzu- 
sprechen, da die Vorkenntnisse sehr 
unterschiedlich sind, daher hätte ich das 
konkret erwähnt sollen. (Karolin Seeger) 


Verhalten über 
Oberfläche ändern 


(Softwareentwicklung: Visual Studio 2008; 


iX 3/08; 5,56) 


In Ihrem Bericht über das neue Visual 
Studio 2008 findet sich auf Seite 60 in 
der rechten Spalte folgende Aussage: 
„Eine unangenehme Eigenart des De- 
signers ist, dass die Verweise in der 
Datenkontext-Klasse auf die Geschäfts- 
objektklassen deren Namen mit einem 
angehängten kleinem „s“ erhalten. 
[...] Zwar kann man die LINQ-to- 
SQL-Entität im Designer umbenennen 
und damit auch die Klassennamen in 
den Singular setzen, aber dies ist müh- 
sam. Und das „s“ für den Plural wird 
man gar nicht los.“ 

Zumindest in der auf meinem Rech- 
ner installierten Visual C# 2008 Express 
Edition kann man das von Ihnen be- 
schriebene Verhalten sehr wohl über die 
Oberfläche ändern. Unter Tools -> Op- 
tions ... -> Knoten Database Tools -> 
O/R Designer findet sich die Option 
„Pluralization of names“, deren Proper- 
ty „Enabled“ auf den Wert False gesetzt 
das gewünschte Verhalten hervorbringt. 
Wichtig ist, dass in dem Dialog die 
Checkbox „Show all settings‘ gesetzt ist. 
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Dieses Verhalten dürfte dem Kom- 
mandozeilenargument /pluralize des dem 
O/R-Designers angebundenen Tools 
Sqlmetal.exe entsprechen, welches die 
Entität-Klassen automatisch erzeugt. 


KARSTEN KRUG, BONN 


Shotcodes besser 
für mobile URLs 


(World Wide Web: Der mobile Link ins Internet 
— 2D-Barcodes; iX 3/08: S. 116 ) 


Ein bisschen merkwürdig fand ich, dass 
auf Shotcodes überhaupt nicht eingegan- 
gen wird (siehe www.shotcode.com). 
Der Ansatz scheint gerade für mobile 
URLs sehr interessant zu sein, da er we- 
niger Information speichern kann, dafür 
aber auch eine bessere Erkennungsrate 
bei schlechter Barcode-Qualität aufweist 
(z.B. nach mehrmaligem Faxen oder 
beim Heranzoomen innerhalb eines 
Schaufensters). Außerdem kann man die 
Ziel-URLs später noch beim Betreiber 
ändern, ohne dass der Shotcode geändert 
werden muss. 


MARTEN LEHMANN, POTSDAM 


Semacode war 
einer der Ersten 


(World Wide Web: Der mobile Link ins Internet 
— 2D-Barcodes; iX 3/08: S. 116 ) 


nn ine 


Warum wurde der Pionier Semacode in 
dem Artikel „Alles klickt“ in der ak- 
tuellen Ausgabe nur mit einem Halbsatz 
erwähnt und bei der Linksammlung 
vollständig vergessen? Das finde ich un- 
gerecht, da er einer der ersten war, die 
brauchbare Readers auf Handy-(S60)- 
Basis angeboten hat, und als Forscher 
bin ich sensitiv bezüglich Credit einge- 
stellt... Ehre, wem Ehre gebührt! 


DR. ALEXANDER K. SEEWALD 
(OSTERREICH) 


Ergänzungen und Berichtigungen 


(Vorschau: Produktlinien sparen Entwicklungs- 


kosten; iX 3/08, S. 186) 


Aus redaktionellen Gründen musste lei- 
der der Artikel zur Produktlinienent- 
wicklung in Ausgabe 5/08 verschoben 
werden. 


MARKT + TRENDS 


Cebit 2008 


Stimmen zur 
Cebit 


Karl-Heinz Streibich, Vor- 
standsvorsitzender der Soft- 
ware AG: „Für uns die Cebit 
hervorragend gestartet, und wir 
hatten schon am ersten Tag 
deutlich mehr Kunden und Be- 
sucher als letztes Jahr. Es sind 
Fachbesucher, die mehr als frü- 
her die Cebit als Wettbe- 
werbsshow nutzen.“ 


Bernd Völcker, Vorstand der 
Infopark AG: „Das neue Profil 
der Cebit ist deutlich zu spüren. 
Mit dem angepassten Messe- 
konzept sind wir sehr zufrie- 
den. Die Einbindung von Kon- 
gressen und Foren spricht das 
Fachpublikum optimal an.“ 


Stefan Backes, Director Mar- 
keting Central Europe Novell: 
„Wir unterstützen die Umstruk- 
turierung der Messe. Die Aus- 
richtung auf das Business-Pu- 
blikum kommt uns entgegen. 
Durch den Umzug in die Hal- 
le 2 und deren Fokussierung 
hatten wir einen besseren Zu- 
gang zu unserer Zielgruppe.“ 


Hannes Schwaderer, Ge- 
schäftsführer der Intel GmbH: 
„In der Zeit von Dienstag bis 
Freitag findet der IT-Profi die 
für ihn relevanten Informatio- 
nen, das Wochenende steht den 
Privatnutzern zur Verfügung. 
Das reflektiert unser Konzept, 
das einen Umbau des Standes 
in der Nacht von Freitag auf 
Samstag beinhaltet.“ 


Stefan Engel, Geschäftsführer 
Acer Computer GmbH: „Über- 
zeugend war in diesem Jahr in 
unseren Augen das neue Drei- 
Säulen-Messekonzept mit der 
klaren Gliederung Handel, 
öffentlicher Sektor und Wirt- 
schaft.“ 


Volker Merk, Deutschland- 
Chef SAP: „Neu ist, dass die 
Cebit noch stärker an Themen 
und Lösungen orientiert ist — 
was eine perfekte Deckung mit 
den Bedürfnissen der Besucher 
bedeutet. Neu ist auch das um- 
fangreichere und besser gebün- 
delte Kongressprogramm.“ 


Achim Berg, Vorsitzender der 
Geschäftsführung Microsoft 
Deutschland GmbH: „Wäh- 
rend der gesamten Messe hat- 
ten wir stets sehr gute Gesprä- 
che mit den Fachbesuchern. 
Diese waren gut vorbereitet, 
und in vielen Fällen ging es 
um konkrete Projekte.“ 
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IT-Messe: Erfolgreich wie nie zuvor 


Neues Konzept 


Wolfgang Möhle 


Als Ernst Raue die abschließende Pressekonferenz 
eröffnete, hörte man noch in den hinteren Reihen den 
Fels von seinen Schultern fallen. Die Cebit-Macher 
hatten viel riskiert - und alles gewonnen. 


ir haben Wort gehalten. 

Die neue Cebit hat ein 
scharfes Profil, eine klare 
Struktur und deutlich mehr In- 
halt“, so der für die Cebit ver- 
antwortliche Ernst Raue. Die 
vier Ausstellungsbereiche -— 
Business Solutions, Public 
Sector Solutions, Home und 
Mobile Solutions sowie Tech- 
nology und Infrastructure — 
erlaubten auf der diesjährigen 
Cebit eine weitgehend nach 
Schwerpunkten gruppierte Hal- 
lenbelegung und dadurch auch 
eine räumliche Trennung von 
B2B und B2C. 

Die direkten und kürzeren 
Wege sind ja nur ein Angebot: 
Die Messe als Plattform nutzen 
müssen Aussteller und Besu- 
cher. Und da kamen in diesem 
Jahr einige positive Punkte zu- 
sammen. Zum einen die immer 
noch ordentliche Gesamtkon- 
Junktur einschließlich der Hoff- 
nung, dass sich die Wirt- 


schaftslage in absehbarer Zeit 
nicht grundlegend ändert. Zum 
anderen die Bereitschaft, in IT 
zu investieren, entweder als 
Ersatzbeschaffung, weil man 
schon einige Zyklen ausgelas- 
sen hat oder weil Expansionen 
und neue Geschäftsfelder an- 
gesagt sind. „Die Bereitschaft 
zu investieren war sehr groß“, 
so August-Wilhelm Scheer als 
Bitkom-Chef und Vertreter der 
Aussteller. 

Mit dem Thema „Green IT“ 
traf man zudem den Zeitgeist. 
Niemand hat erwartet, dass es 
nach einer Woche für alle dies- 
bezüglichen Probleme inner- 
halb der IT eine Lösung geben 
kann. Auch wenn viele Aus- 
steller das Thema aufgegriffen 
haben, schien es doch oft mar- 
ketinggetrieben, selten waren 
die Aussagen mit harten tech- 
nischen Fakten belegt. Eine 
Sensibilisierung der Kunden 
ist aber erreicht und wenn es 


CeBit 


nur darum geht, die explodie- 
renden Stromkosten zu sen- 
ken. Jetzt schlägt die Stunde 
der Fachpresse, für die not- 
wendige und unabhängige 
Aufklärung zu sorgen. 

Traditionsgemäß erfüllt die 
Cebit die Rolle als riesige bran- 
chenspezifische Job- und Kon- 
taktbörse. Unter dem Label 
„Job & Career Market“ bemüh- 
ten sich IT-Firmen, das Interes- 
se der Besucher an ihrem 
Unternehmen zu wecken. Be- 
sucher waren hier Studenten 
kurz nach oder vor dem Ab- 
schluss oder einfach nur Wech- 
selwillige. Für diesen Markt 
stellte die Cebit sehr viel mehr 
Ausstellungsfläche als im letz- 
ten Jahr zur Verfügung. 

Für die, die eine erfolgrei- 
che Messe nur im Zahlenspie- 
gel sehen können, hat Raue 
zum Schluss der Veranstaltung 
noch ein paar Zahlen nachge- 
schoben: knapp unter 500 000 
Besucher, davon mehr als 
100 000 aus dem Ausland, fast 
80 % haben sich als Fachbesu- 
cher geoutet, und die mehr als 
5800 Aussteller kamen aus 77 
Ländern. Für Scheer ist die Be- 
sucherzahl ohnehin kein Maß- 
stab: „Nicht die absolute Zahl 
ist wichtig, sondern dass die 
richtigen, sprich die potenziel- 
len Kunden kommen.“ Und 
das war in diesem Jahr augen- 
scheinlich der Fall. 

Nach der Cebit ist vor der 
Cebit: 2009 beginnt sie am 
Dienstag, den 3. März, und 
dauert bis Sonntag, den 8. 
März. (WM) 


Prolog: Steve Ballmer sprach auf der Eröffnungs- 
feier am Vorabend der Cebit von der vierten IT- 
Revolution, dem realen Web 2.0 und träumte 
von der fünften, der nun wirklich papierlosen 
Kommunikation. Weniger visionär als Microsofts 
CEO warb der Präsident des diesjährigen Cebit- 
Partnerlands Frankreich, Nicolas Sarkozy, für 
eine engere Zusammenarbeit zwischen seinem 
Land und Deutschland, die in konkrete Projekte 
wie beispielsweise der Entwicklung neuer 
Hochleistungsrechner münden sollte. 


Messetage. 


Epilog: Eine überaus positive Bilanz der Cebit 
2008 zog Ernst Raue, Mitglied des Vorstandes 
der Messe AG und für die Cebit verantwortlich, 
mit seinem unzweideutigen Resümee: „Wir 
erlebten die beste Cebit aller Zeiten.” Da 
mochte auch der Chef des IT-Lobbyverbandes 
Bitkom, August-Wilhelm Scheer, nicht 
zurückstehen und unterstrich, durch eigene 
Erfahrungen angereichert, seine ebenfalls 
ausgesprochen positive Sichtweise der sechs 
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MARKT + TRENDS 


Hardware 


Speicher im Hallendickicht der Cebit 


Nicht wenige der großen Namen 
der Speicherbranche fehlten die- 
ses Jahr in Hannover, der Rest 
war verstreut über das Gelände 
oder irgendwo als Unterausstel- 
ler versteckt. Wer nicht bis zum 
Branchentreff SNW Europe im 
Herbst warten wollte, konnte 
dennoch einiges entdecken. 


Sandisk etwa präsentierte einen 
Flashback-Adapter genannten 
Einschub für den Expresscard- 
Slot, der in den neueren Note- 
books den PCMCIA-Standard 
ablöst. Eine OEM-Software spei- 
chert zusätzlich alle neuen Doku- 
mente oder Ordner kontinuierlich 
auf einer Flashcard, die im Adap- 
ter Platz findet — eine mobile 
Anwendung von Continuous Da- 
ta Protection (CDP), die wahl- 
weise, etwa für Vielreisende, so- 
gar automatisch die Daten auf 
dem Stick verschlüsselt. Adapter 
und Backup-Software kosten 30 
Euro, eine 32 GByte fassende 
Flashcard derzeit noch etwa 500 
Euro. IBM Tivoli hatte auf der 
Softwareseite vor etwa zwei Jah- 
ren mit Continuous Data Protec- 
tion for Files ein ähnliches An- 
gebot herausgebracht (Preis: etwa 
50 Euro). Mit „Vaulter“ plant 
Sandisk zudem, eine Kombina- 
tion aus SSD (Solid State Disk) 
und Festplatte für Notebooks her- 
auszubringen: Auf der SSD sol- 
len Betriebssystem und Appli- 
kationen untergebracht werden, 
was das Hochfahren und Aus- 
schalten beschleunigt, während 
die Disk für schnelle Lese- und 
Schreibzugriffe von Dateien zur 
Verfügung steht. 


Bei IBM standen Lösungen für 
File Area Networks (FAN) im 
Vordergrund. Auf der Hardware- 
seite setzt IBM Bladecenter als 
Basis-Appliances ein, während 
als Middleware das im High Per- 
formance Computing verwende- 
te General Parallel File System 
(GPFS) zum Einsatz kommt. 
GPFS hat viele ILM-Funktionen 
für Speicherklassen bekommen, 
Flash Copy und Tape-Anbin- 
dung sind ebenfalls integriert. 
Für die Datenmigration sorgt der 
Tivoli Storage Manager (TSM). 
Darüber befinden sich die Skill 
Out File Services (SOFS), die 
Policy-basiert alle Dateisysteme 
aus der Open-Systems-Welt in- 
tegrieren können. 


Sun stellte auf der Cebit gleich 
mehrere Neuerungen im Storage- 
Bereich vor. Neben dem Band- 
laufwerk T9840D, das Sun als 
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„neues Fast Access Enterprise 
Tape Drive“ bezeichnet, ist das 
vor allem die SL3000, die mit 
der gleichen Technik wie das 
Enterprise-Modell SL8500 da- 
herkommt: Sie verfügt ebenfalls 
über Redundanz bei den Robots 
(Tallbot, Handbot) und bei den 
Power- und Cooling-Funktionen. 
Zudem kann sie durch physi- 
sche und logische Partitionierung 
Mainframe- und Opens-Systems- 
Daten in einem Gerät speichern. 
Außerdem bietet der Hersteller 
nun Capacity on demand an. 


Hitachi Data Systems (HDS) bie- 
tet derweil NAS-Systeme von 
Bluearc an, die unter anderem 
mit der Replikationstechnik 
(Truecopy) von HDS ausgerüstet 
sind. Als weitere Neuerung offe- 
rierte der Hersteller, der seine 
Kunden vor allem bei Highend- 
Arrays hat, die VTL-Modelle 
500M, 1000L und 1000E, die 
über integrierte Deduplizierungs- 
funktionen von Diligent verfü- 
gen. Außerdem präsentierte das 
japanische Unternehmen mit der 
Data Discovery Suite eine Index- 
und Search-Technik, die NAS- 
und Archivierungsumgebungen 
zusammen durchforsten kann. 


Auch Falconstor glänzte mit De- 
duplizierung, die Bestandteil der 
neuen VTL Enterprise Edition 5 
ist. Nachdem jetzt kein Storage- 
Anbieter mehr ohne diese Tech- 
nik am Markt auftritt, fragt man 
sich unwillkürlich, ob die Bran- 
che bisher die Tatsache ver- 
schlafen hatte, dass in Unterneh- 
men unzählige Datenduplikate 
existieren. Am Datenwachstum 
allein kann es nicht liegen — das 
explodiert ja schon seit Jahren. 
Anwender sollten behutsam auf 
den neuen Zug aufspringen, 
denn unüberlegt installierte Da- 
tei-Entrüämpelung kann schnell 
auf Kosten der Performance 
beim Datenspeichern gehen — 
schließlich gilt es die Duplikate 
erst einmal zu finden. 


Martin Jetter, der Deutschland- 
Chef von IBM, formulierte die- 
ses Jahr den Satz: „Die Halle 2 
ist die neue Halle 1.“ Bleibt zu 
hoffen, dass die Messe AG 
nächstes Jahr endlich eine dezi- 
dierte Speicher-Halle, mit wel- 
cher Nummer auch immer, prä- 
sentieren kann. Das würde den 
Komfort für die an Storage inter- 
essierten Besucher ungemein er- 
höhen, die sich nicht mehr im 
Dickicht der Hallen verlieren 
müssten. Hartmut Wiehr 


Als Alternative zu Band- und 
optischen Archiven ist seit ei- 
niger Zeit das Massive Array 
of Idle Disks (MAID) im Ge- 
spräch. Es benötigt bei gleicher 
Kapazität erheblich weniger 
Energie als die immer bereiten 
klassischen RAID-Systeme, de- 
klassiert optische Jukeboxen in 
puncto Datendurchsatz und er- 
laubt im Gegensatz zu Bandar- 
chiven schnelle Zugriffe auf 
einzelne Dateien. Allerdings 
haben nur wenige Anbieter ein 
MAID-System im Portfolio. 
Zu den MAID-Pionieren ge- 
hört Copan Systems (www.cop 
ansystems.com). Auf der Cebit 
stellte die Firma ihr Enterprise 
MAID aus. Das System setzt 
sich aus ein bis acht „Shelves“ 
mit jeweils acht Platteneinschü- 
ben zusammen. Jeder Einschub 
enthält 14 SATA-Festplatten — 
setzt man Terabyte-Platten ein, 
beträgt die Bruttokapazität ma- 
ximal 896 TByte. Davon ist 
allerdings höchstens ein Viertel 
im Zugriff, den übrigen Platten 
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schaltet das System den Strom 
ab. Dabei verwendet es ein ähn- 
liches Nutzungsmuster wie ein 
Desktop-Rechner, was der Le- 
bensdauer der SATA-Laufwer- 
ke zugutekommt. 

Logisch teilt das Enterprise 
MAID die 112 in einem Shelf 
vorhandenen Platten in Vierer- 
gruppen ein. Eine dient als 
Spare Pool, die übrigen bilden 
jeweils ein RAID 5. Um Hot 
Spots zu vermeiden, liegen die 
Platten einer RAID-Gruppe 
über das gesamte Shelf ver- 
streut. Aus demselben Grund 
verteilen sich die gerade akti- 
ven RAIDs auf alle Shelves im 
Rack. Längere Zeit nicht ge- 
nutzte Platten weckt das System 
spätestens nach 30 Tagen für ei- 
ne Runde „Disk-Aerobic“ auf. 
Zeigt sich dabei, dass ein Lauf- 
werk auszufallen droht, kopiert 
es seine Daten vorsorglich auf 
eine Spare-Platte, bevor es zum 
Ausfall und dem damit verbun- 
denen aufwendigen Rebuild 
des RAIDs kommt. 


Neue Mainframe-Generation 


Unter dem Namen z6 hatte 
IBMs neue Mainframe-Serie 
bereits im Vorfeld die Gerüch- 
teküche angeheizt; auf der Cebit 
war nun der neue Mainframe 
System z10 zu bewundern. Den 
Codenamen z6 trug der zuge- 
hörige Prozessor im eClipz- 
Projekt, in dem IBM an der 
Zusammenführung seiner Ar- 
chitekturen arbeitet. Er sollte die 
Nähe zum Power6 kennzeich- 
nen: Beide CPUs werden im 
65-nm-Prozess gefertigt und 
weisen Gemeinsamkeiten im 
Grundlayout auf. 


Im Vergleich zum Vorgänger 
z9 will Big Blue bis zu 100 Pro- 
zent mehr Rechenleistung aus 
dem neuen System z1O Main- 
frame herausholen. Verantwort- 
lich dafür sind 64 z10-EC-Pro- 
zessoren mit je vier Cores und 
4,4 GHz Taktfrequenz - in ei- 
nem System z9 EC sind es ma- 
ximal 54 z9-CPUs mit nur 1,7 
GHz. Als Betriebssystem dient 
auf der zI0 z/OS V1.9. Die Ver- 
sion 1.10 soll im Herbst folgen. 
Außerdem stehen Linux für 
System z, der Hypervisor z/VM 
und z/TPF zur Verfügung. 


Aufgeschnitten und in Glas gelegt: Auf dem IBM-Stand hatten die 
Cebit-Besucher die Gelegenheit, dem z10-Mainframe im 24"-Rack 
mit integrierter Wasserkühlung in die Eingeweide zu schauen. 
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MARKT + TRENDS 


Green IT 


Neue Kühlkonzepte auf der Cebit 


Warme Winde 


Susanne Nolte 


Während die Hersteller von IT-Systemen und 
-Komponenten ihren Kunden das „grüne” Gewissen 
erst einimpfen wollen, sehen sich Rechenzentren mit 
einer anderen Herausforderung konfrontiert: 
Schleunigst müssen Alternativen zur bisher recht 
energieintensiven Kühlung her. 


a gerade die Rechenzentren 

mit dem steigenden Strom- 
verbrauch zu kämpfen haben, 
kam auf der Cebit kein Re- 
chenzentrumsausstatter um die 
Themen Energieeffizienz und 
Stromsparen herum. Dadurch 
war wohl auch die plötzliche 
Inflation von Kaltgang- respek- 
tive Warmgangeinhausungen 
in Halle 12 zu erklären. 


Den abgeschlossenen Warm- 
gang hatte sich APC schon vor 
einiger Zeit patentieren lassen: 
Zwei Reihen Racks drehen dem 
mit Glasdach und Schiebetüren 
vom Rest des Rechenzentrums 
getrennten Gang den Rücken 
zu. Die Lüfter der darin befind- 
lichen Systeme ziehen die Luft 
aus der temperierten Umgebung 
und blasen sie in den abgedich- 
teten Gang, wo sie den Luft/ 
Wasser-Wärmetauschern nicht 
entkommen kann. Konzipiert 
ist das System vor allem für 
die Hotspots, verursacht durch 
Blades oder 1-U-Server. 

Auf den Ständen der Mitbe- 
werber waren die Gegenstücke 


Ein Gang zwischen zwei Rack- 
Reihen mit Doppelboden, 
Glasdach und Schiebetüren 
versehen sowie ein 
geschlossener Luftkreislauf 
bilden den Kaltgang von 
Schäfer IT-Systems (Abb. 1). 


zu bewundern: Kaltgänge sind 
in der Breite grundsätzlich 
großzügiger ausgelegt, da sie 
ausreichend Platz für die Mon- 
tage der Server bieten müssen: 
Rechts und links von Kaltgän- 
gen stehen sich die Server- 
Racks frontal gegenüber. Schä- 
fer IT-Systems etwa arbeitet 
mit Doppelbodenplatten zwi- 
schen und unter den Racks, aus 
denen kalte Luft zu den Ser- 
vern strömt. Die geschlossenen 
Rückseiten der SP-20-Racks 
führen die warme Luft wieder 
zum Wärmetauscher zurück. 
Die 60 x 60 cm? großen Dop- 
pelbodenplatten namens Swap 
Panel 9 bestehen aus neun 
Quadraten, die sich nach Be- 
darf mit geschlossenen, geloch- 
ten oder Kabelführungseinsät- 
zen versehen lassen. 

Da solche Systeme eher für 
Wärmeproduzenten der mittle- 
ren Gewichtsklasse geeignet 
sind, hatte Schäfer daneben sein 
geschlossenes, wassergekühltes 
Unigle-Rack für thermische 
Schwergewichte aufgebaut. 

Mit der Kühlung zukünftiger 
Rechenzentren beschäftigen 
sich die Forscher des Zurich 
Research Laboratory in Rü- 
schlikon. Ihr Ziel: Die von den 
IT-Systemen erzeugte Wärme 
wollen sie für Heizanlagen zu- 
rückgewinnen. Voraussetzung 
dafür ist eine wesentlich höhe- 
re Wassertemperatur, als sie 
bisher in Rechenzentren vor- 
kommt: Da für Luft/Wasser- 
Wärmetauscher der Wasservor- 
lauf (Warmwasser) kälter sein 
muss als der Luftrücklauf (kalte 
Luft), erreicht das durch die 
Systeme erhitzte Wasser bei 
den bisher üblichen Klimaanla- 
gen keine 30 °C. 


Bitkom-Leitfaden zur Energieeffizienz im Rechenzentrum 


Mit praktischen Hinweisen 
will der Bitkom Hersteller und 
Betreiber bei Planung, Bau und 
Betrieb von Rechenzentren 
unterstützen. Die hat der ITK- 
Branchenverband in einem 
Leitfaden „Energieeffizienz im 
Rechenzentrum“ zusammenge- 
fasst, den er als Vorabversion 
auf der Cebit verteilte. Denn 
nach seiner Ansicht besteht ei- 
ne solide Unkenntnis vor allem 
über die Energiekosten, da 
Unternehmen diese häufig als 
Gemeinkosten abrechnen. 
Allein durch das Messen des 
Energieverbrauchs lassen sich 
unnötige Stromfresser ausma- 
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chen. Neue Messmethoden und 
eine Visualisierung etwa der 
Temperaturverteilung im Re- 
chenzentrum versprechen noch 
genauere Erkenntnisse. 

Eine Analyse zeigt: Nur die 
Hälfte des Energieverbrauchs 
entsteht direkt durch die IT - 
die andere Hälfte verbrauchen 
Klimatisierung und unterbre- 
chungsfreie Stromversorgung 
(USV). Diesen beiden The- 
men sind zwei große Kapitel 
gewidmet. 

Gerade beim Thema USV 
gilt es, die Wechselwirkung 
von Effizienz und Sicherheit 
zu berücksichtigen. Entschei- 


dend ist der Wirkungsgrad der 
USV. Allein durch die Verlust- 
leistung verschiedener USV- 
Typen entstehen im schlimm- 
sten Fall pro Jahr Mehrkosten 
von über 10 000 Euro und ein 
CO,-Ausstoß, der 300 000 ge- 
fahrenen Kilometern eines 
PKW entspricht. Über eine 
Zielvorgabe für den Wirkungs- 
grad von USVs haben sich EU 
und Hersteller nach Angaben 
von Bitkom kürzlich geeinigt. 

Zwei relativ kurze Kapitel 
beschäftigen sich mit der Op- 
timierung von Hard- und Soft- 
ware, etwa durch Virtuali- 
sierung, sowie dem Energy 


Auf dem IBM-Stand hatten 
die Schweizer Forscher das 
vereinfachte Modell ihres 
„Zero Emission Data Center” 
aufgebaut - hier als geren- 
dertes 3D-Modell (Abb. 2). 


Die Schweizer Forscher 
schlagen deshalb einen ande- 
ren Weg ein: Statt mit gekühl- 
ter Luft wollen sie die Systeme 
direkt mit warmem Wasser 
kühlen. Momentan existiert ein 
Prototyp einer direkten Was- 
serkühlung für CPUs, dessen 
verkleinertes Modell auf der 
Cebit aufgebaut war: Die heiß- 
laufenden Recheneinheiten er- 
wärmen das 45 °C warme 
Kühlwasser auf 50 °C und hö- 
her; das lässt sich dann ohne 
den Einsatz zusätzlicher und 
vor allem energieverschlingen- 
der Wärmepumpen zum Hei- 
zen verwenden. 

Momentan arbeiten die 
Wissenschaftler an der Anpas- 
sung des Kühlsystems an ande- 
re Komponenten und Systeme, 
etwa an ganze Serverinnenräu- 
me und Disk-Subsysteme, de- 
ren Laufwerke nicht für solch 
hohe Temperaturen ausgelegt 
sind. 


Contracting, das das Manage- 
ment von Kühlung und Strom 
vereinfachen soll. 

Für die Datenspeicherung 
empfehlen die Autoren unter 
anderem, wie dem Löschen 
nicht benötigter Dateien, ein In- 
formation Lifecycle Manage- 
ment (ILM), das den am besten 
geeigneten Speicherplatz be- 
stimmt: Nur Daten, die schnell 
verfügbar sein müssen, bleiben 
auf teuren Speichern mit hohem 
Energieverbrauch — andere rut- 
schen auf Nearline- oder Off- 
line-Storage. Archivierte Daten 
gehören auf Offline-Medien. 

Barbara Lange 
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MARKT + TRENDS 


Green IT 


Cebit im Energiespar-Hype 


Grüner Schaum 


Hartmut Wiehr 


Green IT hat einen rationalen Kern - Energiever- 
schwendung in Rechenzentren, im Büro oder zu 
Hause. Auf der anderen Seite vergaloppieren sich 
manche Marketingstrategen bei dem Bemühen, ihr 
Unternehmen als das allergrünste herauszustellen. 


M: lassen jedes Mal 
einen Baum pflanzen, 


sobald ein Computer das 
Werksgelände verlässt. Andere 
spenden fleißig an Umweltiniti- 
ativen oder — noch besser — 
gründen gleich selbst eine. 
AMD war in vorderster Linie 
beim Green Grid dabei, Intel 
hat die Climate Savers Compu- 
ting Initiative aus der Taufe ge- 
hoben. Wer sich auf der Cebit 
ins Green IT-Village in Halle 9 
vorwagte, konnte dort zum Bei- 
spiel auf freundliche Vertreter 
der Klimaretter treffen — mit In- 
tel-Namensschild am Revers. 
Sie haben sich das ehrgeizi- 
ge Ziel gesetzt, die bestehenden 
etwa eine Milliarde zählenden 
IT-Geräte auf der Welt bis zum 
Jahr 2010 durch 50 % energie- 
effizientere ersetzen. Erreichen 
wollen sie das durch eine Auf- 
klärungskampagne, die sich an 
Privatanwender richtet, zum 
Beispiel mit Energiespartipps: 
„l. Turn on - and leave on — 
computer power management. 
2. Buy energy-efficient PCs and 
servers. 3. Spread the word“. 
Zusätzlich wollen die 175 Mit- 


gliedsfirmen bei sich selbst an- 
fangen und Stromsparpläne um- 
setzen. Die Verlängerung der 
Hardware-Lebenszeit und das 
Einsparen beispielsweise von 
gut 1,5 MWh pro neu produ- 
ziertem PC gehören sicherlich 
nicht dazu, das würde nur die 
Gewinne schmälern. 

Letztlich sind es wir alle, die 
sich an der Umwelt versündi- 
gen. Doch die Suche nach den 
Verursachern geht weiter — und 
momentan ist die IT an der Rei- 
he. Die Hersteller halten es für 
ein Verkaufsargument, auf ihre 
eigenen guten Taten zu verwei- 
sen. Beispiel Nummer eins: 
„Overland Storage hat immer 
Wert darauf gelegt, energieeffi- 
ziente Produkte zu entwickeln — 
ohne dies ‚Green IT’ zu nen- 
nen.“ Sprich: Der Hersteller war 
schon immer „grün“, es fiel nur 
niemandem auf. Zweites Bei- 
spiel: Fujitsu Siemens Compu- 
ters fing schon 1988 — damals 
hieß man noch Siemens-Nix- 
dorf — mit dem Recycling von 
IT-Produkten an. Wer damals 
schon so grün war, ist es heute 
erst recht. Und kann — nachdem 


mechanische Ausschalter in 
Vergessenheit geraten sind — 
gleich den „ersten Null-Watt- 
Monitor“ präsentieren, sowie ei- 
ne Umfrage, die schon wieder 
ergibt, dass die Menschen für 
Umwelt und Green IT sind und 
sogar mehr Geld dafür ausgeben 
würden — was die Marketing- 
Strategen besonders freuen dürf- 
te. Beispiel Nummer drei: Hita- 
chi Data Systems (HDS) ist 
schon seit Anfang der 70er- 
Jahre des letzten Jahrhunderts 
irgendwie „grün“, wie Firmen- 
vertreter stolz auf einer Presse- 
konferenz verkündeten — damals 
baute man umweltfreundliche 
Gebäude. Außerdem verkaufe 
die Muttergesellschaft Hitachi 
heute umweltfreundliche Ei- 
senbahnen. So viel geballte 
Kompetenz muss vermutlich 
zwangsläufig auf die IT-Spar- 
te abfärben. 

Unternehmen, die noch älter 
sind, werden sicherlich bald 
mit weiteren Überraschungen 
aufwarten. Was Anbieter über- 
sehen, die heute mit Green IT 
hausieren gehen, ist die Tatsa- 
che, dass Umweltthemen spä- 
testens mit den Grünen in 
Deutschland und Al Gore in 
den USA moralisch hoch be- 
setzt sind: Jeder nickt mit dem 
Kopf, wenn man ihn auf das 
Thema anspricht, oder spendet 
sogar ein paar Euro nach einer 
Flugreise. Doch ob man sich 
deswegen gleich ein Notebook 
mit Bambusüberzug zulegt, 
steht auf einem anderen Blatt. 
Viel Vergnügen also bei dem 
Kampf um die Geldbeutel ei- 
ner betuchten Klientel. Firmen 
haben ihre eigenen Gründe, 
warum sie sich für ein be- 
stimmtes Produkt entscheiden. 
Da braucht es vielleicht doch 
bessere Argumente. (mr) 


Greenpeace auf der Suche nach grüner Elektronik 


In seiner Studie „Searching 
for Green Electronics“ ver- 
gleicht Greenpeace 37 Pro- 
dukte von 14 Herstellern an- 
hand von Kriterien wie 
Energieeffizienz und Wieder- 
verwertbarkeit sowie der ver- 
wendeten Chemikalien (www. 
greenpeace.org/international/ 
press/reports/searching-for-green 
-electronics). Ergebnis: Trotz 
guter Ansätze bleibt viel Raum 
für Verbesserungen. Viele Her- 
steller reduzieren zwar Giftstof- 
fe, verbessern Energieeffizienz, 
Lebenszyklus und Recycling. 
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Ein wirklich grünes Produkt 
und einen umfassenden um- 
weltfreundlichen Ansatz, der 
den gesamten Lebenszyklus 
berücksichtigt, gebe es aber 
noch nicht, betonen die Um- 
weltschützer. 

Endkunden sollten sich 
nicht fragen müssen, ob sie 
ein giftfreies oder ein energie- 
effizientes Gerät kaufen wol- 
len. Als Schlüssel für ein um- 
fassend grünes Produkt sieht 
Greenpeace die Kombination 
aller positiven Ansätze in ei- 
nem Gerät. 


Nur 14 Unternehmen haben 
auf die Anfrage von Green- 
peace reagiert und ihre drei 
„grünsten“ Produkte zum Tes- 
ten eingereicht. Die besten Er- 
gebnisse erzielten der Laptop 
Sony Vaio TZ11, das Mobil- 
telefon Sony Ericsson T650i 
und der PDA Pli von Sony 
Ericsson. Aber selbst diese 
drei erfüllen nur die Hälfte der 
Kriterien. Nicht teilgenommen 
haben Acer, Apple, Asus, 
Creative, Microsoft, Nintendo, 
Palm und Sharp. 

Barbara Lange 


CeBit 


E-Energy-Preis 


Sechs Gewinner des Wettbe- 
werbs „E-Energy: ITK-basier- 
tes Energiesystem der Zukunft“ 
(www.e-energie.info) gab Dag- 
mar Wöhrl, parlamentarische 
Staatssekretärin beim Bundes- 
wirtschaftsministerium (BMWi) 
bekannt. Vier der ausgewählten 
Forschungsvorhaben will das 
BMWi mit 40 Mio. € fördern, 
die anderen zwei wird das 
Bundesumweltministerium mit 
20 Mio. € unterstützen. 

„Die weitere Liberalisierung 
des Energiemarktes wird ohne 
ITK nicht gelingen“, so Wöhrl. 
Hierfür sei eine breite Zu- 
sammenarbeit von ITK- und 
Energiebranche notwendig. 
Ziel des Projektes E-Energy, 
seit 2006 Leuchtturmprojekt 
der Bundesregierung, ist es, die 
Informationstechnik durchgän- 
gig für die Optimierung der 
Elektrizitätsversorgung nutzbar 
zu machen. ITK soll die Ver- 
sorgungssicherheit, Wirtschaft- 
lichkeit und Umweltverträg- 
lichkeit sicherstellen und etwa 
die Mischung von zentraler 
und dezentraler Energieerzeu- 
gung koordinieren. 

Als Geräte wie die Wasch- 
maschine oder der Mikrowel- 
lenherd vor ein paar Jahren 
internetfähig wurden, haben 
Viele gelacht . Doch in Zukunft 
sollen Haushaltsgeräte ihren 
Einsatz selbstständig Koordi- 
nieren und erst dann ansprin- 
gen, wenn der Strom besonders 
günstig ist. 

Das will man in sechs Mo- 
dellregionen entwickeln. Das 
Projekt eTelligence (www ..etel 
ligence.de) etwa will die in der 
Region Cuxhaven zu einem ho- 
hen Anteil erzeugte Windener- 
gie in die Netze integrieren. Ein 
zentrales Portal soll Erzeuger, 
Verbraucher, Dienstleister und 
Netzbetreiber zusammenführen. 
Haushalte können online ihren 
Stromverbrauch ablesen und 
anpassen. Großverbraucher wie 
Kühlhäuser sollen die Möglich- 
keit bekommen, durch eine 
Senkung der Kühltemperatur 
die bei gutem Wind ausrei- 
chend vorhandene Energie zu 
„speichern“ und bei Flaute die 
Stromaufnahme zu drosseln. 

Weitere Fördermittel gehen 
an die Modellstadt Mannheim, 
E-DeMa (Rhein-Ruhr-Gebiet), 
RedModHarz (Harz), Meregio 
(Karlsruhe/Stuttgart) und Smart 
W@tts (Aachen). 

Barbara Lange 
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MARKT + TRENDS 


Green IT ces” 


Energielabel für Computer 


Grüner Engel 


Michael Riepe 


„Wenn Du nicht mehr weiter weißt, bilde einen 
Arbeitskreis.” Gemäß dieser Devise sollen jetzt 
Kommissionen und Zertifikate die IT aus dem 


Energiesünderpfuhl ziehen. 


ür unzureichend hält die 

Linkspartei die bisherigen 
Bemühungen der Computerin- 
dustrie zur Senkung des Ener- 
gieverbrauchs. Abhilfe soll eine 
Kennzeichnungspflicht schaf- 
fen. Das geht aus einem Antrag 
hervor, den die Fraktion der 
Linken (die-linke.de) am 5. 
März eingereicht hat (www.bun 
destag.de/aktuell/hib/2008/2008 
_071/02.htm]). 

Das vorgeschlagene Ener- 
gielabel soll den Energiebedarf 
in verschiedenen Betriebszu- 
ständen — etwa Leerlauf und 
Volllast - sowie im Standby- 
und Soft-off-Modus bereits vor 
dem Kauf sichtbar machen. 
Ausgeschaltete Geräte sollen 
nach dem Willen der Antrag- 
steller überhaupt keinen Strom 
mehr aufnehmen, für den Ver- 
brauch im Leerlauf oder Stand- 
by-Modus soll es „ambitionier- 
te“ Höchstgrenzen geben. 

Eine dafür einzurichtende 
Kommission aus Umwelt- und 
Verbraucherschützern, Her- 
stellern, Wissenschaftlern und 
Vertretern der zuständigen Be- 
hörden soll alle drei Jahre die 
Richtwerte überprüfen und ge- 
gebenenfalls neu festlegen. 
Nach dem sogenannten „Top- 
Runner-Prinzip“ bestimmen 
dabei die Besten die Höhe der 
Hürden, die alle anderen inner- 
halb eines bestimmten Zeit- 
raums zu nehmen haben. 

Außerdem sollen die Geräte 
ähnlich wie Kühlschränke in Ef- 
fizienzklassen eingeteilt werden 
— wobei der Antrag die nicht 
unwichtige Frage offenlässt, 
wie die Leistung des Geräts und 
damit seine Energieeffizienz zu 
bestimmen ist. Der TÜV Saar- 
land (www.tuev-saar.net) etwa, 
dessen Tochter Tekit (www .te 
kit.de) ein vergleichbares La- 
bel für Archivsysteme entwi- 
ckelt und auf der Cebit an zwei 
optische Jukeboxen von DISC 
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und JVC vergeben hat, ver- 
wendet als Maß das Verhältnis 
zwischen Energiebedarf und 
Kapazität. Es wären jedoch 
auch andere Kriterien zu be- 
rücksichtigen, etwa der er- 
reichbare Durchsatz oder die 
Zugriffszeit. 

Auch konzentriert sich der 
Vorschlag der Linken auf den 
Endverbraucher-Markt — PCs, 
Notebooks und Peripheriegerä- 
te. Er ignoriert die Belange etwa 
von IT-Abteilungen und Re- 
chenzentren ebenso wie das dort 
vorhandene Sparpotenzial. Ihrer 
wollen sich IBM Deutschland 
und der TÜV Rheinland (www. 
tuv.com/de/) annehmen. Ziel 
der auf der Cebit besiegelten 
Kooperation ist die Entwick- 
lung eines Standards für die 
Umweltverträglichkeit von Re- 
chenzentren sowie — man ahnt 
es bereits — eines einschlägigen 
Zertifikats. Zur Kriterienbil- 
dung werde man international 
vorhandene Standards ebenso 
heranziehen wie praxisnahe 
und relevante Bewertungen 
der Energieeffizienz. 

Insgesamt entsteht der Ein- 
druck, dass das Angebot an 
freiwilligen Zertifizierungen in 
erster Linie den Zertifizie- 
rungsstellen dient — etwa den 
miteinander konkurrierenden 
regionalen Ausprägungen des 
Technischen Überwachungs- 
vereins, die die Entwicklung 
solcher Zertifikate als Dienst- 
leistung anbieten. Angesichts 
des Kreises der Auftraggeber 
und der produktbezogenen Aus- 
wahl der Prüfkriterien kann von 
„neutral geprüfter Qualität“ 
wohl kaum die Rede sein. Oh- 
ne einheitliche Standards sind 
die „Bapperl“ nicht mehr als ein 
Werbegag. Zumindest das sprä- 
che für eine gesetzliche Zwangs- 
prüfung, etwa vergleichbar mit 
der Abgasuntersuchung bei 
Kraftfahrzeugen. (sun) 
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MARKT + TRENDS 


Kommunikation 


Anrufe und E-Mails unter einem Dach 


Voxtron hatte die neue Version 
seiner Contact Center Suite 
Agentel 6.1 mitgebracht, eine 
Software, die E-Mails und Te- 
lefonate unter einer Oberfläche 
bündelt und regelbasiert an 
den fachlich oder zeitlich am 
besten geeigneten Mitarbeiter 
weiterleitet. 

Durch eine Anbindung an 
vorhandene Unternehmens-Ap- 
plikationen bekommt der Mit- 
arbeiter Zusatzinformationen 
über den Anrufer auf seinem 
Bildschirm präsentiert, wo- 
durch fundierte Gespräche mög- 
lich werden sollen. Eingehen- 
de Faxe leitet die Software als 
E-Mail an die jeweiligen Mit- 
arbeiter weiter. 

Als wichtiges Merkmal des 
Produkts hebt Voxtron die Un- 
abhängigkeit vom Typ der vor- 
handenen Telefonanlagen her- 
vor. Auch nach einem Wechsel 
der Anlage könne man das Sys- 


tem weiter nutzen. Die Anbin- 
dung an die TK-Anlage erfolgt 
über Sprachkanäle (ISDN, ana- 
log, VoIP). 

Mit dem OfficeClient erhal- 
ten die Mitarbeiter im Contact 
Center und im übrigen Unter- 
nehmen die gleiche Benutzer- 
oberfläche, um dem Ziel der 
Verbindung von Front- und 
Backoffice näher zu kommen. 
Damit können auch die Mitar- 
beiter im Backoffice Funktio- 
nen wie das Präsenzmanage- 
ment nutzen. Außerdem ist es 
möglich, direkt aus Outlook 
und anderen Tapi-fähigen Pro- 
grammen zu wählen. 

Zu den Kunden von Vox- 
tron gehören mittelständische 
und große Unternehmen, Ban- 
ken, Versicherungen, Behör- 
den, Handel und Industrie, 
Netzbetreiber und Hersteller 
von TK-Anlagen. 

Barbara Lange 


== 


agenTelm contacd Center 


Bei Cytel Technology AG war 
deren softwarebasierte VoIP- 
Telefonanlage CYTEL .iBX für 
Microsoft Windows zu sehen, 
die ISDN, analog, SIP und 
GSM mit Unified-Communi- 
cations-Funktionen versieht. 
Nachrichten wie Fax, SMS, 
Telefon, Voice-Mail und SMS 
erscheinen unter einer ein- 


heitlichen Oberfläche, E-Mail 
nicht. Jeder Benutzer kann sei- 
ne diversen Telefonnummern 
in bis zu vier Profile einbinden 
und ist damit immer unter ei- 
ner Rufnummer erreichbar. 
Das Unternehmen richtet sich 
mit CYTEK.iBX an mittelstän- 
dische Unternehmen mit fünf 
bis 300 Benutzern. 


CAB: Anrufe im Webbrowser 


C4B zeigte Version 2 des Pro- 
duktes „XPhone CTI Mobility“, 
das eingehende Anrufe und 
Präsenzzustände in Echtzeit im 
Webbrowser signalisiert. Die 
Darstellung ist für Smartphones 
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optimiert. Der Anwender kann 
die Anrufe per Mausklick an- 
nehmen. Zielgruppe sind Unter- 
nehmen mit mobil arbeitenden 
Mitarbeitern im Außendienst 
oder in Home-Offices. 


CeBt 


Studie: VoIP und Unified Communications 


Parallel zur Cebit stellen die 
Analysten von Berlecon Re- 
search ihre Studie „VoIP und 
Unified Communications 2008“ 
vor, die sich an ITK-Anbieter 
und -Dienstleister richtet. Dem- 
nach besteht ein großer Bedarf 
an Unified-Communications- 
Funktionen. Die Mehrheit von 
150 im Januar und Februar 
2008 befragten ITK-Entschei- 
dern in deutschen Unternehmen 
mit mindestens 100 Mitarbei- 
tern hält die Integration ver- 
schiedener Kommunikationska- 
näle und deren Einbindung in 
Office-Anwendungen für sehr 
wichtig. Vor allem versprechen 
sie sich eine bessere Unterstüt- 
zung mobiler Mitarbeiter durch 
eine automatische Weiterlei- 
tung zum derzeit genutzten 
Endgerät über Find-Me-Fol- 
low-Me- und One-Number- 
Funktionen. 

Die Analysten von Berlecon 
sehen VoIP als Voraussetzung 


für Unified Communications 
an, da unter technischen und 
wirtschaftlichen Gesichtspunk- 
ten nur dann eine Integration 
sinnvoll sei. 

Mehr als die Hälfte der 
Unternehmen nutzt aber gar 
keine VoIP-Techniken. Nur 38 
Prozent der Befragten verfü- 
gen über gemeinsame IP-Net- 
ze für Daten und Sprache, 25 
Prozent nutzen eine IP-PBX. 

Als Hindernis gilt die leidige 
Sicherheit. Die von Cisco Sys- 
tems und T-Systems finanziell 
unterstützte Studie nennt eine 
Integration von Sicherheits- 
funktionen daher als wichtigstes 
Entscheidungskriterium bei der 
Auswahl einer VoIP- bezie- 
hungsweise UC-Lösung. Auf 
Platz zwei steht die Adminis- 
trierbarkeit mit 41 Prozent. 42 
Prozent der Befragten können 
sich Managed Services als Be- 
treibermodell vorstellen. 

Barbara Lange 


Siemens: Unified-Communications 
mit Videokonferenzen per Mausklick 


„Open-Communication for the 
open minded“. Unter diesem 
Slogan stellte Siemens Enter- 
prise Communications seinen 
neuen „Openscape Unified 
Communications Server“ vor. 
Nach eigenen Angaben ist 
dies die erste Softwareplatt- 
form auf dem Markt, die Vi- 
deo, Sprache, E-Mail, Instant 
Messaging, Festnetz, mobile 
Telefonie, Präsenzmanagement 
und Collaboration-Funktionen 
innerhalb einer UC-Lösung 
integriert. 

Einsetzen lässt sich das Pro- 
dukt in jeder IT- oder Telefo- 
nie-Umgebung. Es baut auf 
dem Session Initiation Protocol 
(SIP) und der serviceorientier- 
ten Architektur OpenSOA von 
Siemens auf und nutzt Hipath- 
8000. Eine Verbindung mit 


IBM Sametime oder Micro- 
softs Office Communication 
Server ist möglich. 

OpenScape Video, die dazu- 
gehörige Unified-Videoconfe- 
rencing-Anwendung, soll stand- 
alone oder als Bestandteil des 
Openscale UC-Servers verfüg- 
bar sein. Als großen Vorteil 
hebt Siemens hervor, dass alle 
Mitarbeiter per Mausklick Vi- 
deokonferenzen aufbauen kön- 
nen. Im Rahmen der Grüne- 
IT-Welle muss natürlich gesagt 
werden, dass dieses sowohl 
Reisekosten als auch CO,- 
Ausstoß senkt. Bis zu sechs 
Standorte lassen sich zusam- 
menschalten. 

Der Openscape Unified 
Communications Server soll 
Ende April 2008 in drei Versio- 
nen auf den Markt kommen: 
Als Single-Server-Vari- 
ante für bis zu 1000 Nut- 
zer (Medium Edition), 
als Multiserver-Konfigu- 
ration für bis zu 100 000 
Anwender (Large Edi- 
tion) und als Hosted 
Edition, mit denen der 
Hersteller die speziellen 
Anforderungen von Ser- 
vice-Providern und Hos- 
ting-Unternehmen adres- 
siert. Barbara Lange 
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MARKT + TRENDS 


E-Mail cesit $” 


Anti-Spam-Dienstleister im Aufwind 


Anbieter von Appliances und 
Dienstleistungen gegen Spam 
waren sich auf der Cebit einig 
darüber, dass es im vergange- 
nen Jahr wieder einen Rekord 
an unerwünschten E-Mails gab. 
Die Zahl der Spam-Mails ist 
2007 um ein Mehrfaches ge- 
stiegen, deren Größe jedoch et- 
wa im gleichen Maße gesun- 
ken. Während die Spammer 
Anfang vergangenen Jahres mit 
Bilder-, PDF- und sogar MP3- 
Spam experimentierten, haben 
sie sich derzeit auf sehr kleine 
Mails verlegt. 

Mit Antispameurope und 
Eleven waren in Deutschland 
ansässige Dienstleister vertre- 
ten, die den kompletten Mail- 
Verkehr per MX-Eintrag auf 


sich umleiten. Sie sehen sich 
gegenüber den Geräteherstellern 
im Vorteil, da es angesichts der 
Tücken beim Betreiben eigener 
Mailserver einen Trend gebe, 
das Annehmen und Filtern von 
Mails komplett auszulagern. 

In der Tat scheint den Appli- 
ance-Anbietern die reine Spam- 
Filterei nicht mehr zu genügen. 
Die Cisco-Tochter Ironport et- 
wa führte ein „unternehmens- 
weites Sicherheitsmanagement“ 
vor, das auch Data Leakage Pre- 
vention und Websicherheit um- 
fasst. Reddoxx (vormals SfbIT) 
hat seinen Spamfinder mittler- 
weile um Produkte fürs Archi- 
vieren (Maildepot) und Ver- 
schlüsseln respektive Signieren 
(Mailsealer) ergänzt. 


Spam kommt oft von „Einmal-IP-Adressen” 


Zu den von Mailserver-Betrei- 
bern häufig eingesetzten Spam- 
Gegenmaßnahmen gehört das 
Abfragen von Blacklists, die IP- 
Adressen aufführen, von denen 
wahrscheinlich nur Spam zu er- 
warten ist. Während einer 24- 
stündigen Stichprobe Mitte Fe- 
bruar hat das Gelsenkirchener 
Institut für Internet-Sicherheit 
rund 17 Millionen solcher An- 
fragen an einen DNS-Slave-Ser- 
ver der von der iX-Redaktion 
betriebenen Blacklist gezählt 
(www .nixspam.org). Die Aus- 
wertung des Zahlengebirges er- 
gab, dass gut ein Drittel der ins- 
gesamt abgefragten IP-Adressen 
(rund 459000 von 1351 000) 
nur ein einziges Mal in Erschei- 
nung trat. Das berichteten Chris- 
tian Dietrich und Christian Ros- 
sow vom Institut auf dem 


Heise-Cebit-Forum. Wenn ein 
Drittel aller beobachteten IP- 
Adressen nur ein einziges Mal 
Spam abfeuert, bedeutet das 
umgekehrt für Blacklists, die 
nur verifizierte, vor Kurzem be- 
obachtete Spam-Quellen auf- 
führen, eine Art „natürliche“ 
Obergrenze der Trefferquote 
von derzeit 66 Prozent. 

Eine wesentliche Steigerung 
der „Einweg-Quote“ ist zurzeit 
nicht zu befürchten, denn IP- 
Adressen, die nur ein einziges 
Mal auftreten, lassen sich mit 
Greylisting wirksam blockieren. 
Dieses Verfahren geht davon 
aus, dass erwünschte Mails vor 
allem von Hosts stammen, die 
mehrmals in Erscheinung treten 
und anders als viele „Bots“ mit 
temporären Fehlermeldungen 
umgehen können. 


distribution of activity periods ofreq IP addresses 
resolution=iminute period=1 day 


aumber of iP aörwnven (od vcale) 


ir 


Ein Tag auf der Blacklist: Sehr kurzlebige Adressen tauchen 
extrem häufig auf (blau, logarithmische Skala), und führen zu sehr 
wenigen Treffern (rot, rechte Skala). 
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MARKT + TRENDS 


Forschung 


WLAN und Roboter auf dem Vormarsch 


Gut eingebettet 


Christopher Kunz, Kersten Auel 


Vom Spielerischen über Nützliches bis zu 
lebenserleichternden Anwendungen reichten die im 
Bereich Forschung auf der Cebit vorgestellten 
Projekte. Eine zunehmende Rolle in der IT spielen 
Erkenntnisse der Kognitionswissenschaften und der 


Hirnforschung. 


D: Ausstellerschwund ver- 
gangener Jahre ging — eben- 
so wie das von der Messe AG 
mit vielen Vorschusslorbeeren 
bedachte neue Konzept — am in 
Halle 9 eingerichteten „Future 
Parc“ weitgehend vorbei. Wie 
gewohnt durch eine Mitteldia- 
gonale von den in derselben 
Halle untergebrachten Dienst- 
leistern für die öffentliche Hand 
getrennt, zeigten Universitäten 
und Forschungsinstitutionen ih- 
re Neu- und Weiterentwicklun- 
gen des letzten Jahres. Neben 
wenigen Ständen ausländischer 
Universitäten fanden sich Spin- 
offs und Institute aus dem dies- 
jährigen Partnerland Frankreich 
auf einem Gemeinschaftsstand 
ein. Die erdrückende Mehrheit 
der Exponate kam jedoch auch 
heuer aus Deutschland. 

Neben den altbekannten Pro- 
jekten aus dem Umfeld der 
Audio- und Videokodierung 
wartete der Stand der Fraunho- 
fer-Gesellschaft mit einigen 
Neuerungen auf, darunter das 
Projekt „Hydra“. Der wenig 
vertrauenerweckende Name be- 
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zeichnet eine Middleware, die 
eingebettete Systeme zu einem 
intelligenten Gesamtnetzwerk 
verknüpfen und damit etwa das 
Gebäudemanagement erleich- 
tern soll. Im augenfällig aus 
Plastikbauklötzen zusammen- 
gesetzten Beispielszenario zeig- 
ten die Entwickler vom Fraun- 
hofer-Institut FIT, wie ein mit 
ihrem „Nervensystem“ ausge- 
stattetes Haus feststellt, dass et- 
wa die Heizung ausgefallen ist, 
selbstständig einen Techniker 
beauftragt und diesem eine 
temporäre Zutrittsberechtigung 
ausstellt. Die eingebetteten 
Überwachungssysteme dieses 
stark an „Big Brother“ er- 
innernden Szenarios stellen si- 
cher, dass der Handwerker spä- 
testens bis zum Ablauf der 
Autorisierung das Gebäude ver- 
lassen hat, andere Teile des 
Hausnetzwerkes beurteilen den 
Erfolg der Reparatur. Die Hy- 
dra-Middleware verwaltet sämt- 
liche Komponenten des Netzes 
und vermittelt zwischen den je 
nach Hersteller und Verwen- 
dungszweck unterschiedlichen 


Infotainment” versteht die 
Metaio GmbH die Verbindung 


klassischer Printmedien mit 3D- 


Inhalten (Abb. 1). 


Als „zeitgemäßes 


Quelle: Wissen Media Verlag GmbH, Gütersloh/München 


Zugangsprotokollen. So wollen 
die FIT-Wissenschaftler die 
Entwicklung von eingebetteten 
Systemen erleichtern und of- 
fene, klare Schnittstellen be- 
reitstellen. 

Ein anderes Projekt aus dem 
Fraunhofer-Institut IIS ist be- 
strebt, dem gerade in Städten 
allgegenwärtigen WLAN eine 
zusätzliche Funktion abzuge- 
winnen. Für Umgebungen, die 
wegen dichter Bebauung für 
eine Positionsbestimmung über 
GPS nicht geeignet sind, hat 
das Erlanger Institut eine Al- 
ternative entwickelt und in der 
Innenstadt von Nürnberg er- 
probt. Zunächst legten sie da- 
für eine Signalkarte aller in der 
Stadt funkenden Access Points 
und deren Signalstärke an. Die 
Kombination aus der MAC- 
Adresse des AP und dessen 
Signalstärke dient hier als 
Unterscheidungsmerkmal. 


Positionsermittlung 
in Sekundenschnelle 


Eine für diverse mobile Endge- 
räte erhältliche Software ist 
nun, ausgestattet mit der zu- 
vor angelegten Signalkarte, in 
der Lage, durch Triangulation 
zwischen den drei ihr am nächs- 
ten liegenden Zugriffspunkten 
ihre Position mit verblüffender 
Genauigkeit zu bestimmen. Im 
chronisch WLAN-übersättig- 
ten Cebit-Umfeld gelang ein 
erster Praxistest beim Stand- 
rundgang auf Anhieb. Selbst 
die vergleichsweise hohe Dy- 
namik der Signalquellen - 
schließlich sind viele Hotspots 
nicht rund um die Uhr in Be- 
trieb — beeinträchtigt die Lo- 
kalisierung nicht. Man habe 
beim Testbetrieb in Nürnberg 
festgestellt, dass bis zu 50 
Prozent der kartierten APs 
ausfallen dürften, ohne dass 
die Genauigkeit der Ortsbe- 
stimmung gefährdet sei, so die 
Forscher. Wie punktgenau die 
WLAN-Lokalisierung funk- 
tioniert, ist trotzdem stark von 
den Umgebungsparametern ab- 
hängig: In einem geschlossenen 
Gebäude, das flächendeckend 
mit Access Points abgedeckt 
wird betrüge sie zwei bis vier, 
außerhalb von Gebäuden zwi- 
schen sieben und zwölf Metern. 

Gegenüber dem Strom spa- 
renderen Konkurrenten GPS 
hebt sich dieses Verfahren 
neben der Verwendbarkeit un- 
ter ungünstigen Bedingungen 
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durch die deutlich schnellere 
initiale Positionsbestimmung 
hervor: Während ein GPS- 
Empfänger zur Ermittlung der 
Position durchaus eine Minute 
benötigt, beträgt die Antwort- 
zeit per WLAN wenige Sekun- 
den. Für die kommerziellen 
Anwendungen, die das IIS und 
seine Industriepartner konzi- 
pieren — etwa die Gelben Sei- 
ten und T-Systems -, ein 
schlagender Vorteil. Zielen die 
geplanten „Location based Ser- 
vices“ doch darauf ab, dem ge- 
stressten Stadtnomaden maß- 
geschneiderte Informationen 
aus seiner direkten Umgebung 
anzubieten. 

An der TU Chemnitz forscht 
man mit ähnlichen Vorzeichen, 
aber anderen Ergebnissen. Hier 
werden ebenfalls existierende 
Techniken verwendet, um ei- 
nen neuen Nutzen zu erzielen, 
allerdings richtet die Anwen- 
dung sich eher an Konferenz- 
teilnehmer als an urbane Su- 
chende. Die Forscher aus 
Sachsen haben ein drahtloses 
Konferenzsystem entworfen, 
das beim Anwender vorhande- 
ne Geräte einbezieht. Mit einer 
Software können die Besitzer 
WLAN-fähiger Endgeräte der 
über die drahtlose Schnittstelle 
übertragenen Simultanüberset- 
zung bei internationalen Ver- 
anstaltungen lauschen. Für 
nicht derart technisierte Zeitge- 
nossen besteht immer noch die 
Möglichkeit, mit Bluetooth- 
Headsets teilzunehmen — dort 
allerdings ist die Sprache vor- 
bestimmt. Bis zu 50 Teilneh- 
mer können mit jeder Sprach- 
version versorgt werden, die 
bisher hohen Kosten für Kon- 
ferenzheadsets sollen so dras- 
tisch sinken. Die Chemnitzer 
hoffen auf reges Interesse aus 
der Wirtschaft. 

Auf dem Stand des Bundes- 
ministeriums für Bildung und 
Forschung zeigte ein weiteres 
Fraunhofer-Institut, das FIRST, 
ein selbstlernendes Intrusion 
Detection System. Remind, so 
der Name des Produkts, ist an- 
hand ausgeklügelter Verfahren 
aus dem Bereich des maschinel- 
len Lernens in der Lage, bereits 
nach einer sehr kurzen Justie- 
rungsphase Angriffe selbststän- 
dig zu erkennen und zu melden 
oder zu unterbinden. Die von 
traditionellen IDS bekannten, 
ständig zu aktualisierenden Re- 
gelwerke sollen somit der Ver- 
gangenheit angehören (siehe 


auch Seite 26). 
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Forschung 


Anhänger dreidimensiona- 
ler Grafik konnten sich auf dem 
Stand der Hochschule Fulda an 
„Cloddy“ sattsehen. Die primär 
für Spiele konzipierte Grafik- 
Engine erlaubt einen praktisch 
beliebigen Detailgrad und ge- 
stattet dem Spieler so, aus dem 
Weltraum auf einen mit proze- 
duralen Verfahren modellierten 
Planeten zuzufliegen und ohne 
die in heutigen 3D-Spielen üb- 
lichen Übergänge auf diesem 
zu landen und in detaillierten 
Landschaften weiterzuspielen. 
Auch bereits existierende Land- 
schaftsmodelle können pro- 
blemlos mit Cloddy verwen- 
det werden. 


Bücher in neuen 
Dimensionen 


Wer neben dreidimensionalem 
Spielvergnügen ein gutes Buch 
zu schätzen weiß, dürfte sich 
für das „Augmented Reality 
Book“ der Metaio GmbH 
(www .metaio.com) interessie- 
ren, das am Stand des Bundes- 
ministeriums für Bildung und 
Forschung zu sehen war. Auch 
hier findet „Commodity“- 
Hardware, also bereits in vie- 
len Haushalten vorhandene 
Technik, ein neues Anwen- 
dungsfeld. Die um Metaios 
Technik erweiterten Bücher 
enthalten an bestimmten Stel- 
len einen Barcode. Um diesen 
zu erkennen, ist neben einem 
Laptop mit der Spezialsoftware 
eine handelsübliche auf das 
Buch gerichtete Webcam nö- 
tig. Die Software ordnet dem 
Barcode eine dreidimensionale 
Animation zu und spielt sie auf 
dem Laptop-Bildschirm ein. 
Der Leser soll so anschauliche 
Zusatzinformationen zu auf 
Papier schwer vermittelbaren 
Inhalten — etwa aus der Medi- 
zin oder Geografie — erhalten 
oder sich von lustigen Render- 
Figuren unterhalten lassen. 
Der Wissen Media Verlag (ein 
Unternehmen der DirectGroup 
Bertelsmann) will einen AR- 
Atlas bereits im Herbst dieses 
Jahres in den Handel bringen 
(siehe Abbildung 1). 

Metaio setzt ihre Marker- 
technik bereits seit Jahren 
kommerziell ein. Auf der Cebit 
präsentierte die Firma unter an- 
derem außerdem ein AR-Ter- 
minal. Der Benutzer hält eine 
Markerkarte in der Hand, und 
je nach ausgewählter Karte 
sieht er vor dem Monitor das 
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3D-Modell eines Autos von 
außen oder innen, kann es 
durch Bewegen der Karte dre- 
hen und kippen. Mögliche Ein- 
satzgebiete sind Roadshows 
oder Ausstellungsräume von 
Händlern. 


Roboter für 
fast alle Lebenslagen 


Einen festen Platz auf der Cebit 
scheinen mittlerweile Roboter 
erobert zu haben. Die Compu- 
terlinguisten der Universität des 
Saarlandes präsentierten einen 
Prototyp mit einer Schnittstelle 
zu Lego Mindstorms, dem sie 
das Sprechen beigebracht ha- 
ben (www .informatik-saarland. 
de). Der Roboter reagiert oh- 
ne Training auf gesprochene 
Anweisungen, antwortet, steu- 
ert auf Befehl Gegenstände an, 
greift sie und bringt sie dem 
Benutzer. Entwickelt wurde 
die Sprachsteuerungssoftware 
„Dialog OS“ von der CLT 
Sprachtechnologie GmbH, ei- 
nem Spin-off-Unternehmen der 
Universität. Der sprechende Le- 
go-Roboter ist für den Einsatz 
an Schulen konzipiert. Durch 
einen einfachen Nachbau bei- 
spielsweise ließe sich Schülern 
vermitteln, welche komplexen 
Aufgaben ein Computer lösen 
muss, wenn er menschliche 
Fähigkeiten wie Sprechen, 
Hören, Sehen oder Greifen 
nachahmen soll. 

Mit künstlicher Intelligenz 
agiert der Roboter Zeno, der 
am neuseeländischen Gemein- 
schaftsstand in Halle 14 zu 
sehen war. Auf Basis der 3D- 
Animations- und -Simulations- 
software von Massive Soft- 
ware (www.massivesoftware. 
com), die dafür konzipiert ist, 
Bewegungsabläufe von Mas- 
senszenen zu realisieren — ein- 
gesetzt beispielsweise für „Der 
Herr der Ringe“ und „Rata- 
touille‘“ — nimmt Zeno, dessen 
Gehirn mit einem Computer 
verbunden ist, seine Umge- 
bung wahr und kann darauf 
reagieren. Eine spezielle Soft- 
ware kontrolliert seine Reak- 
tionen und ermöglicht es ihm, 
Schlüsse zu ziehen und dazu- 
zulernen. Durch den Einsatz 
eines neu entwickelten, sich 
organisch anfühlenden Materi- 
als, mit dem das Gesicht des 
Roboters überzogen ist, lässt 
sich seine Mimik passend zu 
seinen verbalen Reaktionen 
steuern, sodass der Betrachter 
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Die Aufmerksamkeitskarte einer Goodgaze-Analyse: Rote Bereiche 
haben wahrscheinlich einen hohen Aufmerksamkeitswert, während 
blaue von vielen ignoriert werden (Abb. 2). 


den Eindruck gewinnen kann, 
dass Zeno echte Gefühle aus- 
drückt. Angedacht ist, den Ro- 
boter sowohl in kleiner Aus- 
führung als Spielzeug auf den 
Markt zu bringen als auch in 
einer größeren Variante für 
möglicherweise kommerzielle 
Zwecke. Ersteres eventuell 
noch in diesem Jahr. 

Einen „alltagstauglichen Re- 
habilitationsroboter“ hat das 
Institut für Automatisierungs- 
technik (IAT) der Universität 
Bremen entwickelt (www ..iat. 
uni-bremen.de). Er soll es Per- 
sonen mit schweren körper- 
lichen Behinderungen erlauben, 
zumindest teilweise selbstbe- 
stimmt agieren zu können, statt 
rund um die Uhr auf die Hilfe 
anderer angewiesen zu sein. 
Amarob ist ein mit einem 
Leichtbauroboterarm und Grei- 
fer ausgestatteter Rollstuhl, mit 
dem man beispielsweise ei- 
nem Kühlschrank Lebensmittel 
entnehmen kann. Die Ausfüh- 
rung der Aufgaben ist teilauto- 
nom, was bedeutet, dass der 
Benutzer in die Handlung ein- 
greifen kann, wenn etwas 
schiefzugehen droht, falls das 
System beispielsweise durch 
veränderte Lichtverhältnisse die 
Lage des zu greifenden Gegen- 
standes nicht korrekt erkannt 
hat. 


Hirnforschung 
in der IT 


Für die Interaktion werden 
Eingabegeräte flexibel ange- 
koppelt, die auf die indivi- 
duelle Behinderung des An- 
wenders zugeschnitten sind. 


Dazu zählt unter anderem das 
Brain Computer Interface (BCD 
des von der EU finanzierten 
Forschungsprojekts „Brainro- 
bot“. Über die BCI-Schnitt- 
stelle lassen sich gemessene 
Gehirnsignale in Steuerbefeh- 
le für Hard- und Software um- 
wandeln. Anders als bei ande- 
ren Schnittstellen dieser Art 
soll ein Training des Benut- 
zers nicht notwendig sein (sie- 
he auch Seite 30). Das System 
greift auf Bereiche des Gehirns 
zurück, die für die visuelle 
Wahrnehmung zuständig sind 
und misst die Synchronisation 
der Neuronen im visuellen 
Kontext beispielsweise mit 
der Frequenz einer blinkenden 
Lichtquelle, auf die die Kon- 
zentration des Benutzers ge- 
richtet ist. 

Die Blickrichtung und die 
Aufmerksamkeit eines Benut- 
zers stehen auch im Zentrum 
des Projekts Goodgaze (www. 
goodgaze.de). Mitarbeiter des 
Instituts für Kognitionswissen- 
schaft der Universität Osna- 
brück wollen anhand von in 
der Hirnforschung gewonne- 
nen Erkenntnissen voraussagen, 
auf welchen Teil einer Website 
ein Anwender als Erstes blickt 
und welche Teile ihm am unin- 
teressantesten erscheinen. Die 
Software soll als Webdienst 
angeboten werden. Goodgaze- 
Analysen, deren unmittelbar 
vorliegende Ergebnisse als 
Heatmaps visualisiert werden 
(Abb. 2), sollen den Designpro- 
zess einer Benutzeroberfläche 
direkt unterstützen. Eine Beta- 
phase mit ausgewählten Benut- 
zern soll direkt nach der Cebit 
begonnen haben. (ka) 
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Server ceBit$” 


Virtualisierungsforum auf der Cebit 


Ohne doppelten 


Boden 


Nikolai Zotow 


Mit einem speziellen Forum, begleitet von einer 
mehrtätigen Vortragsreihe, lockte Magirus Besucher 
zum Thema Virtualisierung - ein etwas schwieriges 
Unterfangen wenige Tage nach der VMworld. 


ine Woche nach der 

VMworld in Cannes (siehe 
Beitrag auf Seite 40) hatte ei- 
gentlich niemand mit großen 
Neuigkeiten gerechnet. Trotz- 
dem gab es eine echte Überra- 
schung: Java Virtual Machines 
ohne ein Betriebssystem als vir- 
tuelle Instanz in VMwares In- 
frastructure 3 (VI3) zu betrei- 
ben, ist das Ziel der Allianz 
zwischen Bea und VMware. 
Die beiden Unternehmen arbei- 
ten an einer Technik für die An- 
passung der Laufzeitumgebung. 

Es geht um die gemeinsame 
Entwicklung einer Schnittstel- 
le, über die sich die JVM in den 
Hypervisor von VM-ware ein- 
klinken kann. BEAs LiquidVM 
(dev2dev.bea.com/liquidvm/vi 
ce/) liefert die Grundlage, eine 
spezielle Variante der JRockit 
VM für virtualisierte Umge- 
bungen. VMwares Hypervisor 
in deren Virtualcenter enthält 
Erweiterungen, mit denen sich 
außerdem BEAs Weblogic 
Server Virtual Edition und an- 
dere Java-Applikationen autark 
als VMs einsetzen lassen. 


IBMs Blades 
mit embedded ESX 


Furore macht derzeit VMware 
ESX Server 3i, eine für den 
Einsatz mit Flash-Speichern ab- 
gespeckte Version des ESX 
Server. Zur VMworld hatten 
sich die Großen der IT - Dell, 
Fujitsu Siemens Computers 
(FSC), Hewlett-Packard, IBM, 
Sun und VMware — zusammen- 
gefunden und eine Verein- 
barung getroffen, ESX 3i on 
board zu integrieren. Zur Cebit 
präsentierte IBM dann seinen 


Blade-Server HS21 XM im 
Bladecenter mit VMware ESX 
Server 3i, zu booten aus dem 
4 GByte-Flash einer speziellen 
Zusatzkarte (siehe Abbildung). 
Mit dabei ist IBMs Director. 
Der Blade-Server HS21 
XM (www-3.ibm.com/systems/ 
bladecenter/hardware/servers/ 
hs21xm) läuft mit Intels bis 
zu 3 GHz schnellem Dual- 
oder Quad-Core-Xeon-Prozes- 
sor. IBM hat ihn für bis zu 
32 GByte RAM ausgelegt, im 
Unterschied zu seinem Pendant 
HS21, das ohne Erweiterung 
nur 16 GByte Hauptspeicher 
verkraftet. Maximal vier SAS- 
Platten (je 146 GByte) in einer 
zusätzlichen SIO-Blade stellen 
gut ein halbes Terabyte Mas- 
senspeicher bereit. Der Server 
nutzt wie die Rack-Systeme 
vom Typ System x 3850 M2 
die vierte Generation des Chip- 
satzes eX4 (www-03.ibm.com/ 
systems/x/hardware/enterprise/ 
x3850m2/ex4), die ebenfalls 
mit eingebautem ESX Server 3i 
auf den Markt kommen soll. 


Blitzschnell: Wer VMwares 
Hypervisor zur Virtualisierung 
nutzen will, muss ihn bei IBMs 
Blade-Server HS21 XM nicht 
erst installieren - der ESX 
Server startet aus dem Flash- 
Speicher. 
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Laptops cesit $” 


Flache Flunder oder kleine Wunder 


Sein ultraflaches Thinkpad 
X300 hat Lenovo zur Cebit auf 
dem Freigelände bei Vodafone 
D2 vorgestellt und will damit 
gegen Apples Macbook Air an- 
treten. Der mit einem Intel 
Core 2 Duo ausgestattete Rech- 
ner verfügt über bis zu 4 GByte 
RAM und eine 64 GByte große 
Solid State Disk (SSD). Der 
X300 besitzt die beim Thinkpad 
üblichen Sicherheitsmerkmale 
wie einen Fingerabdruckleser, 
eine Funktion zum Deaktivieren 
der Ein-/Ausgabe und einen 
32-Byte-Kennwortschutz. An- 
ders als das Macbook Air ist 
der 300x mit einem optischen 
Laufwerk erhältlich. Lenovo 
und Apple haben zwar einen 
ähnlichen Formfaktor, doch 
das X300 ist vor allem für Ge- 
schäftsleute gedacht und mit 
2500 Euro erheblich teurer als 
das Air. 

Auf dem Stand von Asus 
gab es den Eee PC 4G (siehe 
Beitrag auf Seite 87) zu sehen. 
Der Hersteller nutzte die Mes- 
se dafür, seine Kooperation 
mit T-Mobile und Microsoft 
für das Subnotebook bekannt- 
zugeben. Den Mini-Laptop, 
den es bislang nur mit einer 
Linux-Distribution von Xan- 
dros gab, erhält man nun wahl- 
weise mit Windows XP; enthal- 
ten sind Microsoft Works, 
Windows Live, ein Internetzu- 
gang (Excellent Internet) sowie 
mobile Unterhaltung (Enter- 
tainment on the Go). Die grö- 
Bere Variante EeePC 900 mit 
8,9 Zoll großem Bildschirm 
(1024 x 600) und 1 GByte 
RAM soll ab Sommer voraus- 


Gewusst wo: Garmin 

Mobil PC verwandelt Note- 
books in ein Navigationsgerät. 
Die Software, die es nur für 
Windows gibt, nutzt per Blue- 
tooth oder Kabel angeschlos- 
sene GPS-Empfänger und soll 
ab April für 70 Euro zu haben 
sein (www.garmin.de). 


Unterboten: Ein 269 Euro 
teures Subnotebook mit Li- 
nux zeigte der Grafikkarten- 
hersteller GeCube auf der 
Cebit. Er besitzt ein abnehm- 
bares, 7 Zoll großes Display 
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sichtlich für 400 Euro erhält- 
lich sein. 

Von T-Mobile kommen die 
Pakete mit 300 Hotspot-Frei- 
stunden, die zukünftig beim 
Kauf eines EeePC für 299 Euro 
enthalten sind. Das Angebot 
gibt es vorerst nur in Deutsch- 
land und Österreich. Weitere 
Angebote für das mobile Inter- 
net soll es noch im Jahr 2008 
geben: USB-Sticks für UMTS 
und HSDPA. 

Toshiba stellte eine Design- 
studie vor, die in einem Gerät 
Multimediawiedergabe, Navi- 
gation, mobiles Internet und 
andere Funktionen vereint. Der 
Rechner lief bei der Demons- 
tration unter Vista Ultimate. 
Er besitzt keine mechanische 
Tastatur, sondern emuliert das 
Keyboard auf dem berührungs- 
empfindlichen Bildschirm. 

Nikolai Zotow 


Tastenlos: Ganz ohne 
mechanische Tasten kommt 
das Notebook aus, das 
Toshiba als Studie auf der Cebit 
zeigte. Das „virtuelle“ 
Keyboard kann man über den 
Touchscreen bedienen. 


mit 800 x 480 Bildpunkten, 
wiegt 950 g, hat die Maße 
23x 14,6x 33 cm und 
kommt laut Hersteller mit ei- 
ner Akkuladung bis zu 3,5 
Stunden aus (www.gecube. 
com/products.php?lang=de). 


Übern Berg: Intels nächste 
Mobilplattform Centrino 2 
(Projektname Montevina) 
spendiert den Core-2-Duo- 
CPUs mit FSB 1066 einen 
schnelleren Frontside-Bus als 
die Vorgängerin (Santa Rosa). 
Die Northbridge GM45 er- 
laubt den Einsatz von DDR3- 
RAM und soll eine höhere 
Grafikleistung bringen 
(www .intel.com). 
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Neue Produkte sollen Verlust vertraulicher Daten in Unternehmen verhindern 


Nicht erst seit dem jüngsten 
Steuerskandal ist der Begriff 
„Data Leakage Prevention“ 
(DLP) — das Verhindern uner- 
wünschter „Datenabflüsse‘“ in 
Unternehmen - in aller Mun- 
de. Auch auf der Cebit stellten 
einige Hersteller aus der Si- 
cherheitsbranche diesbezügli- 
che Produkte vor. 
Verschlüsselungsspezialist 
PGP (www.pgp.com) hat sich 
mit Lumension (vormals Se- 
cuwave), Hersteller von auf 
Whitelists basierenden Applika- 
tions- und Device-Kontrollpro- 
dukten, zusammengetan. Des- 
sen Produkte sollen bis zum 
Mai in die PGP-Suite integriert 
sein. Ziel ist die sogenannte 
Endpoint-Security, das heißt auf 
den Endgeräten soll jeglicher 
Datentransfer und -fluss kon- 
trolliert, gegebenenfalls blo- 
ckiert und eine Verschlüsselung 
erzwungen werden können. Das 


gemeinsame Produkt firmiert 
unter PGP, soll aber auch von 
der Lumension-Konsole aus 
zentral verwaltbar und für Groß- 
unternehmen einzusetzen sein. 
Ebenfalls neu in der DLP- 
Branche ist Trend Micro 
(www .trendmicro.com). Dessen 
„Leak Proof“, bestehend aus 
Softwareagenten für die Clients 
und einem Fingerprintserver 
(als Hardware- oder virtuelle 
Appliance), setzt den Schwer- 
punkt auf das Verhindern des 
versehentlichen Verlusts oder 
Verschickens sensibler Daten. 
Die Erkennung vertraulicher 
Dokumente soll selbst beim 
Umkopieren oder Aufteilen in 
kleinere Teile (bis zu 30 % des 
Originals) noch funktionieren. 
Trend Micro will das von Pro- 
villa aufgekaufte Produkt hin- 
sichtlich „Look & Feel“ und 
Verwaltbarkeit in die eigene 
Produktreihe integrieren. 


Selbstlernendes Intrusion-Detection-System 


Die enorme Anzahl und Größe 
von Software-Updates wird zu- 
künftig kaum mehr zu managen 
sein, so das Fraunhofer Institut 
Rechnerarchitektur und Soft- 
waretechnik (FIRST, www first. 
fraunhofer.de). Es hat daher auf 
der Basis des maschinellen Ler- 
nens ein selbstlernendes Intru- 
sion-Detection-System (IDS) 
namens „Remind“ entwickelt, 
das keine Aktualisierungen be- 
nötigt. Ausgehend davon, dass 
ein Angreifer sich anormal ver- 
halten muss, um in ein System 
einzudringen, analysiert Remind 
Ereignisse (Verbindungen, Pro- 
tokolle et cetera), splittet sie auf 
und stellt sie geometrisch dar. 
Aus dem Abstand zwischen die- 


sen dargestellten Punkten lässt 
sich schließen, ob die Software 
schädlich ist oder nicht. Denn 
da sich alle schädlichen Pro- 
gramme ähnlich verhalten und 
auch alle nicht schädlichen, ha- 
ben die Programme einer Kate- 
gorie zueinander einen gerin- 
gen, aber zur anderen Kategorie 
einen großen Abstand. Mit die- 
ser Methode kann man laut 
Aussage von FIRST 90 % der 
unbekannten Angriffe erken- 
nen. Zur Einführung in die Ma- 
terie hat das Institut einen origi- 
nellen animierten Film erstellen 
lassen, der nun auf Youtube öf- 
fentlich verfügbar ist (www. 
youtube.com/watch?v=6Sm2- 
klwTUÜUs). 
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Für sein DLP-Produkt „Total 
Protection for Data“ arbeitet 
McAfee (www .mcafee.com) 
mit dem Verschlüsselungsher- 
steller Safeboot zusammen. Das 
Werkzeug beruht zum einen auf 
Schnittstellenblockierung und 
zum anderen auf der Kontrolle 
der Datenbewegungen mittels 
Markierung (Tagging) der Da- 
ten. Die durch Richtlinien er- 
zwingbare Verschlüsselung 
stammt von Safeboot. Neu in 
Version 2.1. ist die separate Li- 
zenzierung des Device Blo- 
cking sowie die Unterstützung 
des Managementwerkzeugs 
ePolicy Orchestrator. 

Der Verlust vertraulicher Da- 
ten beschäftigt auch das diesjäh- 
rige Cebit-Partnerland Frank- 
reich. „Digital DNA“ nennt der 
französische Hersteller Mobile- 
gov (www.mobilegov.com) sei- 
ne Methode der Erfassung und 
Markierung von Hardware-De- 


vices, die an ein definiertes Netz 
angeschlossen werden dürfen. 
Die „Device Authenticator Pro 
Edition“ überprüft außerdem die 
Konfigurationszustände der an- 
geschlossenen Datenträger und 
leitet bei Veränderung Maßnah- 
men ein. Der „Device Linker“ 
soll gewährleisten, dass USB- 
Sticks nur an autorisierte Geräte 
angeschlossen werden können. 
Stöpselt ein Angestellter seinen 
Stick etwa am heimischen PC 
ein, sind die Daten dort nicht 
zugänglich. Die Produkte wer- 
den in Kürze auch in Deutsch- 
land erhältlich sein. 

Auch Ironport (www .iron 
port.de), Prosoft (www.prosoft. 
de), Utimaco (www .utimaco. 
de), Websense (www.web 
sense.de), Infowatch (www. 
infowatch.com/de) und Tetra- 
guard (www tetraguard.de) zeig- 
ten ihre Produkte zur Verhinde- 
rung von Datendiebstahl. 


Drei Sicherheitswerkzeuge von Microsoft 


Zur Cebit stellt Microsoft 
gleich drei Werkzeuge vor, 
die Unternehmen bei der Ent- 
wicklung sicherer Anwendun- 
gen und der Umsetzung von 
Sicherheitsanforderungen und 
-richtlinien helfen sollen. 
Zwei von ihnen, „CAT.Net“, 
das der Code-Analyse dient, so- 
wie eine Software für „Threat 
Analysis & Modeling“, waren 
bislang nur im internen Ge- 
brauch bei der Softwareschmie- 
de. Ein drittes, ein Audittool 
namens Spider, wurde neu 
entwickelt. 

CAT.Net ist angesiedelt zwi- 
schen den herkömmlichen Pe- 
netrationstestwerkzeugen, die 
automatisiert Angriffe auf Ap- 
plikationen fahren, und dem 
manuellen Untersuchen des 
Anwendungs-Sourcecodes auf 
potenzielle Einfallstore durch 
den Sicherheitsexperten. 

Das Werkzeug soll den Pro- 
zess des manuellen Code-Ana- 
lysierens automatisiert unter- 
stützen. Dabei sucht es nach 
häufigen sicherheitsrelevanten 
Programmierfehlern, die An- 
griffe auf Applikationsebene 
wie Cross-Site Scripting, SQL 
Injection, XPath Injection oder 
LDAP Injection ermöglichen. 
Es analysiert, wie das unter- 
suchte Programm die Eingabe- 
daten behandelt. 


Die Software für „Threat 
Analysis & Modeling“ soll Pro- 
jektmanagern und Teamleitern 
von Entwicklungsabteilungen 
helfen, Bedrohungsszenarien 
zu modellieren und dafür Ver- 
antwortlichkeiten zu definie- 
ren. Überdies soll sie bei der 
Umsetzung der Sicherheitszie- 
le bei der Softwareerstellung 
helfen. Wenn beispielsweise 
die Richtlinie eines Unterneh- 
mens die Verschlüsselung von 
Kundendaten zwingend vor- 
schreibt, hilft die Software 
den Projektverantwortlichen, 
dieses Ziel nicht aus den Au- 
gen zu verlieren. 

Das dritte Werkzeug, die 
Auditsoftware Spider, über- 
prüft die sicherheitstechni- 
schen Richtlinien innerhalb ei- 
nes Unternehmens — Stichwort 
Compliance. Mithilfe der Be- 
richts- und Darstellungsfunk- 
tion von Microsofts SQL Ser- 
ver soll Spider Manager über 
die Erfüllung dieser Vorgaben 
unterrichten und sie bei weite- 
ren Entscheidungen unterstüt- 
zen. Alle drei Werkzeuge be- 
handeln jedoch nur einen Teil 
des „Security Development 
Lifecycle for IT“, darauf weist 
Microsoft ausdrücklich hin. 
Sie sind ab sofort bei Micro- 
soft selbst sowie bei zertifizier- 
ten Partnern erhältlich. 
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MARKT + TRENDS 


ITK-Jobs ces $” 


IT-Experten sind Mangelware 


Starke 


Nachfrage 


Achim Born 


Äußeres Zeichen für den Charakter der Cebit als 
größte branchenspezifische Job- und Kontaktbörse 
der Welt waren die Ausweitung der Aktivitäten, 
Ausstellungen und Kongresse rund um das Thema 


„Ausbildung und Beruf”. 


as Wachstum in der ITK- 

Wirtschaft hinterlässt Spu- 
ren im Arbeitsmarkt. Bereits 
auf ihrer Pressekonferenz am 
Vormessetag verkündete der 
Bitkom die Ergebnisse seiner 
Jüngsten Statistik. Danach ist die 
Zahl der Erwerbstätigen in der 
ITK-Branche im vergangenen 
Jahr um 3000 auf 816 000 ge- 
stiegen. Allein Softwarehäuser 
und IT-Dienstleister sollen im 
vergangenen Jahr 17000 zusätz- 
liche Stellen geschaffen haben. 
Damit gelang es, die Entlassun- 
gen in einigen großen Unterneh- 
men mehr als auszugleichen. 
Laut Bitkom-Präsident Prof. 
August-Wilhelm Scheer wäre 
der Stellenzuwachs höher aus- 
gefallen, wenn offene Stellen 
schneller hätten besetzt werden 
können. 43.000 freie Stellen für 
IT-Spezialisten, davon 18 000 
im ITK-Sektor, soll es seinen 
Angaben zufolge geben. Jedes 
vierte ITK-Unternehmen muss- 
te im vergangenen Jahr zudem 
Aufträge ablehnen, weil es die 
notwendigen Mitarbeiter nicht 
finden konnte. Selbst wenn es 
sich dabei in einigen Fällen um 
doppelte Ausschreibungen ge- 
handelt haben kann, verliert die 
Aussage im Kern nicht an Bri- 
sanz. Scheer ist deshalb über- 
zeugt: „Qualifizierte Mitarbei- 
ter finden und binden ist neben 
der Green IT das bestimmende 
Thema dieses Jahres.“ 

Die Cebit-Macher bemühten 
sich, dem vorauseilenden Ruf 
als größte branchenspezifische 
Job- und Kontaktbörse gerecht 
zu werden. Beispielsweise leg- 
te allein die Ausstellungsfläche 
des traditionell in Halle 6 ange- 
siedelten „Job & Career Mar- 
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ket“ um 50 % zu. Unternehmen 
aus nahezu allen Branchen, von 
klassischen IT-Firmen wie der 
Dortmunder Materna (200 offe- 
ne Stellen) bis hin zum Lebens- 
mitteldiscounter Lidl, buhlten 
hier um das Interesse der Be- 
sucher. Neben Absolventen 
kamen dabei dem Vernehmen 
nach durchaus die händerin- 
gend gesuchten IT-Profis mit 
Berufserfahrung vorbei, um 
sich über Angebote zu infor- 
mieren und/oder den Markt- 
wert zu bestimmen. 

In Sachen Entgelt vermittelt 
die Branche allerdings zurzeit 
kein eindeutiges Bild. Während 
etwa eine gemeinsam von der 
Computerwoche und der Ver- 
gütungsberatung Personalmarkt 
durchgeführte Analyse durch- 
aus Gehaltssteigerungen auf- 
spürte, kommt die IG Metall 
zu einem gänzlich anderen 
Schluss. In der bereits zum 
zehnten Mal anlässlich der Ce- 
bit veröffentlichten ITK-Ent- 
geltanalyse heißt es im Ergebnis 
lapidar, dass die meisten Job- 
gruppen bislang nicht vom po- 
sitiven Wirtschaftstrend der 
Branche profitiert haben. (WM) 


Erwerbstätige 
ITK-Branche 2007 


21000 36400 


Unterhaltungselektronik Herstellung IT-Hardware 


206000 
TK-Dienste 


57500 
Herstellung TK-Hardware 
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Business-Software 


IBM stellt Cognos-Strategie vor 


Nach Abschluss der Übernah- 
me des Business-Intelligence- 
Anbieters Cognos zeigte IBM 
erste gemeinsame Ergebnisse. 
Dazu gehören zehn Branchen- 
softwarepakete etwa für Ban- 
ken, Einzelhandel, Gesund- 
heitswesen sowie verarbeitende 
Industrie. Zudem sechs vorkon- 
figurierte BI-Produkte, bei- 
spielsweise ein Cognos 8 Star- 
ter Pack für das Infosphere 
Warehouse, eine vorkonfigu- 
rierte Version für die hausei- 


Bildhaft: Die neuseeländische 
Firma Centruflow hat die Ver- 
sion 3.0 ihrer Kollaborations- 
software vorgestellt. Sie soll 
für das Unternehmen wichtige 
Informationen grafisch, bebil- 
dert und leicht verständlich 
darstellen. Laut Centruflow 
lassen sich viele Fehlentschei- 
dungen auf schlecht aufberei- 
tetes und unverständliches 
Datenmaterial zurückführen 
(www .centruflow.com). 


Klare Prozesse: Touchpaper 
hat seine Business-Manage- 
ment-Suite in der Version 
7.2.3 mit vorgefertigten 
Funktionen für die Personal- 
verwaltung angereichert. Sie 
sollen Standardprozesse wie 
Einstellung und Kündigungen 
übersichtlich abbilden. Ein 
neues Toolkit erleichtert die 
Integration von Touchpapers 
Service-Desk-Komponente in 
eigene Anwendungen. 


Prozessgeschichte: Seiner 
Dokumentenverarbeitungs- 
software Beta UX hat das 
gleichnamige Berliner Soft- 
warehaus neue Funktionen 
spendiert. Sie beherrscht nun 
das Archivformat PDF/A so- 
wie das History-Management 
von Rechenzentrumsprozes- 
sen. Dazu wertet die Software 
alle bereitgestellten Protokol- 
le aus und bietet die Möglich- 
keit, die Vorgänge zentral zu 
bearbeiten und zu archivieren. 


SOA-Buch: Unter dem Titel 
„sOA für agile Unternehmen 
— Serviceorientierte Archi- 
tekturen verstehen, einführen 
und nutzen“ erscheint im 
April ein Ratgeber im Verlag 
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gene Information-Server-Platt- 
form und Vorlagen für die In- 
tegration von Cognos 8 Bl in 
die Business-Process-Manage- 
ment-Software von Filenet. 
Mit neuen Dienstleistungen 
rund um das Bereitstellen von 
Informationen im Unterneh- 
men sowie der Gründung einer 
Community, in der sich die 
Benutzer der BI-Software aus- 
tauschen sollen, will IBM sei- 
ne diesbezügliche Strategie 
abrunden. 


Symposion Publishing. Ziel- 
gruppe sind Geschäftsführer 
und IT-Verantwortliche. Im 
Vordergrund steht der Nut- 
zen von SOA für das Unter- 
nehmen. 


ERP light: Intersystems 
zeigte eine neue Version sei- 
ner Mittelstands-ERP-Lösung 
cierp3. Die reine Webanwen- 
dung bekam zudem einen 
vorkonfigurierten Ableger 
namens cierp3 easy, mit 

dem maximal fünf Benutzer 
gleichzeitig arbeiten können. 
Angeblich lässt sich das ERP- 
System über Webschnitt- 
stellen leicht mit anderen 
Webapplikationen wie 
Onlineshops oder B2B-Por- 
talen zusammenführen. 


Prozessbündel: Unter dem 
Namen „Aris Business Per- 
formance Edition“ hat IDS 
Scheer eine Reihe neuer 

und bekannter Produkte zu- 
sammengefasst, mit denen 
der Anwender Geschäftspro- 
zesse, die Nutzung von IT- 
Systemen sowie das Manage- 
ment gesetzlicher und 
vertraglicher Belange (Com- 
pliance) verbessern kann. 
Beispielsweise enthält die 
Edition Funktionen für die 
Überwachung unterschied- 
licher Prozessversionen. 


Service-Trip: Der Karlsruher 
Softwareanbieter Abas hat sei- 
ne ERP-Software für den War- 
tungsbetrieb ausgeweitet. Alle 
relevanten Daten zum Service- 
auftrag kann der zuständige 
Techniker im Internet abrufen 
und bearbeiten. Die Oberflä- 
che ist so angelegt, dass die 
Bedienung per Touchscreen 
möglich ist. Über einen inte- 
grierten Webshop lassen sich 
Ersatzteile bestellen. 


CeBit 


SAP: Verdienen in allen Bereichen 


Verdienen möchte SAP weiter- 
hin mit Unternehmen aller 
Größenordnungen. Selbst im 
Großkundengeschäft sieht man 
immer noch gute Absatzchan- 
cen. Für die Messe stellten die 
Walldorfer jedoch ihre Mittel- 
standsangebote in den Vorder- 
grund. Besonderes Augenmerk 
galt den Paketen rund um Busi- 
ness All-in-One, das im Unter- 
schied zu den weiteren Offerten 
für die Kleinen und Mittleren 
(Business One und das SaaS- 
Produkt Business By Design) 
auf derselben Codebasis läuft 
wie die große SAP-Lösung. 

Mit Aris Smartpath führte 
IDS Scheer mittelständischen 
Firmen eine prozessorientierte 
Anwendung auf Grundlage von 
Business All-in-One vor. Steeb 
brachte ein voreingestelltes Pa- 
ket einschließlich Kontaktleit- 
stand mit. T-Systems wiederum 
bewarb Dynamic Services for 
SAP Solutions. Hierbei erfolgt 
der Betrieb von Mittelstands- 
software nach einem dynami- 
schen Modell mit Abrechnung 
nach beauftragter Leistungs- 
menge. 

Zu den wirklichen Neuheiten 
im Umfeld von Business All- 
in-One zählte der gemeinsam 
mit Intel gebaute Prototyp eines 
vorkonfigurierten SAP-Servers, 


angetrieben durch Xeon-Quad- 
core-Technik. Geplant ist, die 
Programme mit Suse Linux En- 
terprise sowie SAPs Datenbank 
MaxDB auf Serversystemen 
von Intels OEM-Partnern ge- 
brauchsfertig zu installieren. 
Angeblich betreiben mehr als 
700 mittelständische Firmen ih- 
re SAP-Anwendungen unter Li- 
nux, davon rund 35 % in Kom- 
bination mit MaxDB. 
Verhältnismäßig wenig Auf- 
hebens machte das Manage- 
ment um Business By Design. 
Mittlerweile hat man laut eige- 
nem Bekunden in Deutschland 
70 Kunden für die Mietsoft- 
ware gewonnen. Zudem wollen 
21 neue sogenannte Early Part- 
ners aus Deutschland, Eng- 
land, Frankreich und China die 
Markteinführung unterstützen. 
Zu 16 von ihnen unterhält SAP 
allerdings schon Partnerschaf- 
ten für Business One oder Busi- 
ness All-in-One. Zu den fünf 
Neulingen zählen Alpha Busi- 
ness Solutions, GUS und Porto- 
lan aus Deutschland sowie My- 
net und Inventec aus China. 
Einige Namen auf der Liste ga- 
ben Anlass zum Schmunzeln. 
Denn Unternehmen wie GUS 
pflegten in der Vergangenheit 
zumindest eine verbale Konkur- 
renz zur übermächtigen SAP. 


Reddot integriert Web-2.0-Funktionen 


Erste Einblicke in die kommen- 
de Generation seiner Web Solu- 
tions Suite gewährte Reddot. 
Anfang 2007 übernahm Open 
Text, Anbieter von Enterprise- 
Content-Management-Produk- 
ten, das deutsche Unternehmen. 
Es verantwortet als eigenständi- 
ger Bereich das komplette Web- 
geschäft. Die ab Sommer erhält- 
liche Suite hat man vor allem 
mit sogenannten Social-Compu- 


ting-Komponenten wie Wikis, 
Foren, Blogs, Onlinegemein- 
schaften und Echtzeit-Zusam- 
menarbeitsfunktionen angerei- 
chert. Zudem kooperiert Reddot 
mit dem auf SAPs Netweaver- 
Portale spezialisierten Beratungs- 
haus Btexx. Man will die beste- 
henden Portal-CMS-Lösungen 
zusammenführen, gemeinsam 
weiterentwickeln und unter der 
Marke Reddot vertreiben. 


CRM im Mietmodus von CAS 


CRM-Anbieter CAS hat ein 
SaaS-Paket (Software as a Ser- 
vice) speziell für kleine Firmen 
mit bis zu 20 Arbeitsplätzen ge- 
schnürt. Laut Hersteller handelt 
es sich bei dem Produkt um ei- 
ne komplette Neuentwicklung, 
die technisch auf Eclipse RAP 
(Rich Ajax Platform) basiert. 
Neben den üblichen Group- 
ware-Funktionen (Kalender, 
Aufgaben, Wiedervorlagen) ent- 


hält das Angebot eine digitale 
Kundenakte. Ebenso zum Lie- 
ferumfang gehören Funktio- 
nen für das Management von 
Kampagnen, Dokumenten und 
Verkaufschancen. Laut CAS 
können die Kunden das Online- 
programm, das auch über mo- 
bile Endgeräte zu bedienen 
sein soll, ab Sommer nutzen. 
Preislich will man die Konkur- 
renz weit unterbieten. 
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Signatur Cebit” 


Gesetzeskonforme digitale Unterschrift 


Viele Stiche 


Christian Kirsch 


Im elften Jahr nach der Veröffentlichung des ersten 
Signaturgesetzes sollen Gesundheitskarte, Personal- 
ausweis und eine einheitliche API der digitalen 
Signatur mal wieder den Durchbruch bringen. 


ünktlich zur Cebit stellte das 

Bundesamt für Sicherheit in 
der Informationstechnik (BSI, 
www.bsi.de) die sogenannte 
eCard-API vor. Sie soll An- 
wendungsentwicklern die Ein- 
bindung digitaler Signaturen er- 
leichtern, indem sie sie vor den 
unterschiedlichen Betriebssys- 
temen der Smartcards und der 
Plattformen abschirmt. Kon- 
figurationsdateien („Cardinfo 
Files“) definieren in diesem 
Modell kartenspezifische De- 
tails und bringen Flexibilität: 
Neue Karten sollen mit vor- 
handenen Programmen benutz- 
bar sein. 

Vorrangiges Ziel bei der 
Entwicklung der API war der 
Einsatz in vernetzten Umge- 
bungen, etwa bei der geplanten 
elektronischen Gesundheitskar- 
te (eGK). Deshalb liegt sie bis- 
lang ausschließlich in Form ei- 
ner WSDL-Beschreibung (Web 
Services Description Language) 
vor. Fertige Bindings für C, 
C++ oder Java gibt es noch 
nicht. Aus den WSDL-Daten 
sollen sich jedoch nach Aus- 
kunft von Beteiligten mit ge- 
eigneten Werkzeugen Java- 
Schnittstellen generieren lassen. 

Der Funktionsumfang geht 
weit über das hinaus, was man 
für (qualifizierte) Signaturen 
am Client braucht. So regelt 
die API die Kommunikation 


Auf der microSD-Karte 
von Certgate lässt sich ein 
qualifiziertes Zertifikat 
unterbringen. 
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zwischen den Smartcards von 
Arzt und Patient ebenso wie 
das transparente Signieren von 
fernen Anwendungen aus. 


Funktionstests 
erst später 


Eine erste Implementierung der 
eCard-API will Openlimit 
(www.openlimit.com) bald an- 
bieten. Unter Sicherheitsge- 
sichtspunkten kann das BSI sie 
bereits jetzt zertifizieren. Funk- 
tionstests gibt es jedoch noch 
nicht; die Behörde will sie in- 
nerhalb von sechs Wochen er- 
stellen. Die gesamte API-Defi- 
nition steht auf www.bsi.de/ 
literat/tr/tr03112 bereit. 

Die Certgate GmbH (www. 
certgate.com) zeigte ihre mi- 
croSD-Karte mit integriertem 
Krypto-Prozessor. Sie lässt sich 
mit einem qualifizierten Zerti- 
fikat bestücken und so zum 
Beispiel in einem Handy zum 
gesetzeskonformen Unter- 
schreiben verwenden. Eine 
Anwendung zeigte die Firma 
gemeinsam mit dem Informa- 
tikzentrum der Sparkassen 
(www ..siz.de). Sie ermöglicht 
Geschäftskunden im EBICS- 
Verfahren (Electronic Ban- 
king Internet Communication 
Standard), Überweisungen am 
mobilen Gerät zu signieren. 
Zielgruppe sind Firmen, die 
mehrere Signaturen für be- 
stimmte Zahlungsaufträge ver- 
langen. Mit der microSD-Karte 
können Unterschriftsberechtigte 
auch unterwegs das Nötige erle- 
digen. Einen anderen Einsatz 
demonstrierte die Schweizer 
Esigia AG, die die Karte in ei- 
nen am Arm tragbaren Mini- 
Rechner integriert. Damit lassen 
sich etwa bei der Flugzeugwar- 
tung Dokumente während der 
Arbeit unterzeichnen. (ck) 
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E-Health 


Gesundheitskarte: „Aufhören, über Schlüssellängen zu diskutieren” 


In den Startlöchern? 


Susanne Schwonbeck 


Selten war die Stimmungsdiskrepanz zwischen 
Befürwortern und Gegnern der elektronischen 
Gesundheitskarte so groß wie im Moment. Während 
Arzte über mangelnde Aufklärung klagen und 
Datenschutzbedenken anmelden, scharren die 
Hersteller ungeduldig mit den Hufen. 


ebit-Besucher fanden in 

diesem Jahr die Internatio- 
nale Kongressmesse für ICT- 
Lösungen im Gesundheits- 
markt „Telehealth“ zum ersten 
Mal in die IT-Messe integriert. 
Laut Veranstalter war das Be- 
sucherinteresse deutlich größer 
als im vergangenen Jahr, was 
sicher nicht zuletzt an dieser 
neuen Positionierung der zwei- 
tägigen Veranstaltung liegt. 53 
Aussteller aus insgesamt neun 
europäischen Ländern präsen- 
tierten Produkte, Anwendun- 
gen und Pilotprojekte aller Art 
in Halle 8. 

Während der Messe fand ein 
Kongress statt, der sich in Fir- 
menvorträge, Workshops, Po- 
diumsdiskussionen und Sym- 


posien in zwei parallelen Foren 
gliederte. Ein netter Zug der 
Veranstalter war die Synchron- 
übersetzung von und ins Engli- 
sche sowie die Ausgabe von 
Kopfhörern an das Publikum. 
Das war auch nötig, da das 
diesjährige Cebit-Partnerland 
Frankreich in einem Sympo- 
sium zum Thema E-Health zu 
Wort kam. 

Allgegenwärtig und heiß 
umstritten war das Thema 
elektronische Gesundheitskarte 
(eGK). So zeigte die Gematik 
(Gesellschaft für Telematikan- 
wendungen der Gesundheits- 
karte mbH, www.gematik.de) 
— die nach SGB V $ 291b für 
die Einführung der eGK ver- 
antwortliche Gesellschaft — 


Softwaresteuerung via Gehirn 


Dauerumlagert war auf der Ce- 
bit der Stand der österreichi- 
schen Firma g.tec (www.gtec. 
at), die ihr Gehirn-Computer- 
Interface BCI vorstellte. Ge- 
meinsam mit der von g.tec ent- 
wickelten Software g.RTsys 
und g.RTanalyze erlaubt das 
„Brain Computer Interface“ ei- 
ne Computersteuerung mittels 
Elektroenzephalografie (EEG). 
Die Entwickler konnten in der 
neuen Version die Zeit von 10 
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Stunden auf fünf Minuten redu- 
zieren, die für das Training der 
Software notwendig waren. 
Viele Messebesucher probierten 
das Buchstabieren per Gehirn- 
wellen aus. Das Gerät ist nun 
durch den Einsatz von Blue- 
tooth vollständig mobil. 

Der Hersteller sieht sein Pro- 
dukt als Alltagshilfe für ge- 
lähmte Patienten, die so bei- 
spielsweise schreiben, eine 
entsprechend ausgerüstete Um- 
gebung steuern (Anschalten 
von Fernseher, Musikanlage, 
Licht) oder mit dem Computer 
kommunizieren können. Eine 
weitere Anwendung ist die Be- 
wegung in virtuellen Räumen 
durch ausschließliche Gedan- 
kenkontrolle. Je nach Ausstat- 
tung ist das Gerät samt Soft- 
ware und Verstärker für 4000 
bis 80. 000 Euro erhältlich. 

Susanne Schwonbeck 


insgesamt achtmal an ihrem 
Demonstrationsstand, wie Pa- 
tienten in Zukunft mit ihrer 
Gesundheitskarte beim Arzt, 
in der Apotheke und am ge- 
planten Informationsterminal 
umgehen können. Laut Aus- 
kunft der Gematik soll Ende 
2008/Anfang 2009 die Online- 
Testphase der eGK in sieben 
ausgewählten Modellregionen 
(Baden-Württemberg, Bayern, 
Niedersachsen, Nordrhein-West- 
falen, Rheinland-Pfalz, Sach- 
sen und Schleswig-Holstein) 
mit 10 000 freiwilligen Patien- 
ten beginnen. 


Infrastruktur 
noch unvollständig 


Größtes Hindernis bei der Ein- 
führung und auch Grund für die 
bisherige Verzögerung ist die 
noch fehlende beziehungsweise 
unvollständige Telematik-Infra- 
struktur. Einige Ärzte oder Pra- 
xen sind bisher nicht in das 
System eingebunden. Noch im- 
mer mangelt es an Aufklärung, 
noch immer ist der Widerstand 


CeBt 


seitens der Beteiligten groß. 
Das zeigte sich deutlich bei der 
Podiumsdiskussion mit dem Ti- 
tel „Chancen der Telemedizin 
im Gesundheitswesen“, an der 
unter anderem Vertreter der 
Bundesärztekammer, der Ge- 
matik sowie der Deutschen An- 
gestellten Krankenkasse (DAK) 
teilnahmen. 

So forderte einerseits Claus 
Moldenhauer von der DAK: 
„Wir brauchen die eGK, um die 
Sicherheit der Patienten zu ge- 
währleisten“, während Philipp 
Stachwitz von der Bundesärz- 
tekammer vor permanenter Da- 
tenerhebung, Problemen bei 
Verschiebungen ärztlicher Fach- 
bereiche, dem Datenlöschungs- 
recht der Patienten und den 
daraus resultierenden Haftungs- 
problemen warnte. Darüber 
hinaus ist noch immer nicht ge- 
klärt, wer die Kosten für die 
neue Infrastruktur übernimmt. 

Demgegenüber reicht die 
Stimmung bei den Ausrüster- 
firmen vom entspannten „wir 
sind bereit‘ bei Atos Worldline 
(www.atosworldline.com) bis 
zum „man sollte aufhören, über 
Schlüssellängen zu diskutieren, 
und stattdessen anfangen, Kar- 
ten und Terminals auszugeben“ 
von Andreas Lösch von der Ge- 
malto GmbH. Trotz solch deut- 
licher Worte und der geplanten 
Pilottests bleibt offen, wann ge- 
nau 80 Millionen Bundesbürger 
mit der Ausgabe der eGK rech- 
nen müssen. (ur) 


Schlaf, Bienchen, schlaf ... 


Das Fraunhofer Institut Photo- 
nische Mikrosysteme IPMS 
(www .ipms.fraunhofer.de) prä- 
sentierte das mobile Schlaf-Dia- 
gnose-System „Sleepbee“. Statt 
der in stationären Schlaflaboren 
üblichen Totalverkabelung be- 
steht das System aus Sensoren 
und Signalverstärkern, die man 
direkt am Körper des Schlaf- 
patienten befestigt. 14 Signale 
(darunter EEG, Atmung, EMG, 


Schnarchen) werden per Funk 
an eine neben dem Bett befind- 
liche Basisstation übertragen 
und auf einer SD-Karte gespei- 
chert. Damit können Patienten 
auch im eigenen Bett eine 
Schlafdiagnose durchführen, 
statt endlos auf der Schlaflabor- 
Warteliste zu stehen. Das IPMS 
sucht nun Partner aus der Indus- 
trie, um Sleepbee weiterzuent- 
wickeln. Susanne Schwonbeck 


Unterstützung bei Arzneimittelverordnung 


Eine Weiterentwicklung ihrer 
modularen Software zur elektro- 
nischen Verordnungsunterstüt- 
zung „Rpdoc“ zeigte die Rpdoc 
Solutions GmbH (www rpdoc. 
de). Das für den Krankenhaus- 
betrieb konzipierte Programm 
greift über XML auf Patienten- 
daten und bereits vorliegende 


Laborbefunde zu und weist das 
behandelnde Personal im Falle 
von unerwünschten Wechsel- 
wirkungen der verordneten Arz- 
neimittel auf potenzielle Gefah- 
ren hin. Das Programm enthält 
außerdem eine Schnittstelle für 
die Patientenidentifikation per 
RFID. Susanne Schwonbeck 
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E-Government/RFID 


Zusammenarbeit gesetzlich verankern 


Sanfte Zwänge 


Barbara Lange 


Die öffentlichen Verwaltungen sollen ihre Prozesse 
vereinheitlichen, serviceorientiert und wirtschaftlich 
arbeiten sowie einheitliche Ansprechpartner stellen. 
Genug Diskussionsbedarf für den Public Sector Parc. 


Ww: im vergangenen Jahr 
eröffnete Bundesinnen- 
minister Schäuble den Public 
Sector Parc in Halle 9. E-Go- 
vernment könne nicht mehr 
von einzelnen Behörden und 
Ressorts umgesetzt werden, 
sondern nur ressort- und ebe- 
nenübergreifend, was letztlich 
auch durch die Etablierung des 
Bundes-CIO Ende vergange- 
nen Jahres deutlich wurde, so 
der Minister. Noch dauere die 
Einführung von IT-Systemen 
in den Verwaltungen oft viel 
zu lange — und einmal einge- 
führt, sind sie oft aufgrund der 


hohen Innovationsgeschwin- 
digkeit schon wieder überholt. 

Daher, so Schäuble, sei ein 
„angemessener Rechtsrahmen“ 
erforderlich, der die bundes- 
und länderübergreifende Zu- 
sammenarbeit von Behörden als 
Pflicht definiert. Wie bereits im 
letzten Jahr deutete er an, diese 
Pflicht auch im Gesetz veran- 
kern zu wollen. Dabei ginge es 
nicht um die Abschaffung von 
Föderalismus, sondern um eine 
„vernünftige“ Zusammenarbeit. 

Darüber hinaus betonte er 
die Bedeutung der IT-Sicher- 
heit und warnte vor der Ver- 


letzbarkeit der IT-Infrastruktu- 
ren, die die Staaten auf ganz 
neue Art anfällig machen wür- 
den. Vor diesem Hintergrund 
forderte er die Hersteller auf, 
den Anforderungen der IT-Si- 
cherheit besser nachzukommen. 

Große Projekte, die eine ebe- 
nenübergreifende Zusammenar- 
beit erfordern, sind derzeit die 
EU-Dienstleistungsrichtlinie und 
die einheitliche Behördenruf- 
nummer 115, was sich am Aus- 
stellungsprogramm von Ver- 
waltungen und Unternehmen 
sowie Vorträgen zeigte. Erst- 
mals gab es in diesem Jahr zwei 
Foren, eins für Projekte aus 
Bund und Ländern im Public- 
Sector-Forum, ein anderes für 
Kommunen. 


Behördenrufnummer 
im Herbst 


Für die einheitliche Behörden- 
rufnummer 115 wurde das Por- 
tal www.d115.de auf der Cebit 
freigeschaltet. Zurzeit arbeitet 
man an einem Feinkonzept und 
will im Herbst 2008 mit dem 
Pilotbetrieb in vier Regionen 
starten — ein Vorhaben, das im 
Unterschied zu anderen interna- 
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tionalen Beispielen wie „Call 
311“ in New York, „101 Eng- 
land“ oder „3939 Service Public 
France“ drei Verwaltungsebe- 
nen verknüpft, die fortan zu- 
sammenarbeiten müssen. 

Auf dem Messestand der 
Bundesverwaltung sah man 
unter dem Motto „Deutschland 
wird einfacher“ insgesamt 36 
Projekte von acht Ausstellern — 
darunter der elektronische Per- 
sonalausweis, die elektronische 
Steuererklärung Elster oder so- 
genannte Bürgerportale, die das 
Versenden und Empfangen von 
Nachrichten und Dokumenten 
im Internet zwischen Bürgern, 
Unternehmen und Behörden 
sicher und verbindlich gestal- 
ten sollen. 

Um die umfassende Vernet- 
zung der Stadt Friedrichshafen 
in vielen Bereichen geht es im 
Projekt T-City,, (www.t-city.de), 
das Bürgermeister Josef Büchel- 
meier bei der Eröffnung des Pu- 
blic Sector Parc vorstellte. Für 
die Online-Bildungsplattform 
Edunex (Education Next Gene- 
ration) von T-Systems fiel auf 
der Cebit der Startschuss. Edu- 
nex ermöglicht eine differen- 
zierte Integration von Lern- 
inhalten in den Unterricht. (ur) 


RFID im Masseneinsatz: Regulierung in der Schwebe 


Auch in diesem Jahr räum- 
ten die Cebit-Veranstalter 
dem Thema RFID mit dem 
„Forum AutoID/RFID“ und 
dem „AutoID/RFID Solu- 
tions Park“ viel Platz ein. 
Hersteller, Anwender und 
Interessengruppen stellten 
in Vorträgen und an Stän- 
den die jüngsten Entwick- 
lungen und Trends vor. 


Nicht nur Neuentwicklungen 
wie Transponder auf Polymer- 
basis (PolyIC GmbH), günsti- 
gere Lesetore (Feig Electronic) 
und diverse Einsatzzwecke der 


Chips in Logistik, Automobil-, 
Luftfahrt- und Pharmaindustrie 
konnten Interessierte in den 
RFID-Arealen bestaunen. Dort 
wurde auch der kürzlich von 
der EU-Kommission vorge- 
stellte Empfehlungsentwurf zu 
Datenschutz- und Sicherheits- 
aspekten beim Einsatz der 
Funkchips (ec.europa.eu/your 
voice/ipm/forms/dispatch?form 
=RFIDRec) diskutiert. 

So reagierten die Branchen- 
verbände AIM und Bitkom, die 
Standardisierungsorganisation 
GS1 Germany und das Infor- 
mationsforum RFID mit einem 


Gedruckte RFID-Chips mit Polymer 


Halbleiterstrukturen lassen sich 
auch mit Polymeren aufbauen. 
Dieses Prinzip nutzte die Für- 
ther PolyIC GmbH (www poly 
ic.com) bei der Entwicklung ei- 
nes RFID-Chips im HF-Bereich 
mit einem maximalen Speicher 
von derzeit 4 Bit. Das üblicher- 
weise verwendete Silizium ha- 
ben die Hersteller gegen ein 
Polymer und das Kupfer der 
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Antenne gegen Aluminium aus- 
getauscht. Außerdem werden 
die Chips im Druckverfahren 
hergestellt, was die Kosten 
senkt. Bislang beträgt die Le- 
bensdauer dieser Chips drei bis 
sechs Monate, was sich in Hin- 
blick auf die Diskussion über 
die Deaktivierung von RFID- 
Tags vom Bug zum Feature ent- 
wickeln könnte. S. Schwonbeck 


Aufruf an die Politik, keine zu- 
sätzlichen gesetzlichen Regulie- 
rungen zu erlassen. Andrea Hu- 
ber vom Informationsforum 
RFID betonte, dass viele Anrei- 
ze für den Handel, RFID-Tech- 
nologie im Endverbraucherbe- 
reich zu benutzen, wegfielen, 
würde es zu der im Entwurf 
vorgeschlagenen standardisier- 
ten Deaktivierung der Tags 
nach dem Kauf kommen. Da- 
durch entstünden zum Beispiel 
höhere Kosten durch die not- 
wendige Ausstattung der Kas- 
sen, es gäbe Schwierigkeiten 
beim Löschen des Chips durch 


das Kill-Signal, und RFID-typi- 
sche Zusatzanreize wie die be- 
leglose Garantie fielen weg. 
Gleichwohl sehen Hersteller 
wie IBM kein Problem in der 
standardisierten Deaktivierung. 
Alexander Gleick kommentier- 
te das Kostenargument: „Wenn 
durch RFID im Endverbrau- 
cherbereich Personalkosten für 
Hunderte von Kassiererinnen 
eingespart werden können, sind 
die Kosten für zusätzliche Le- 
segeräte unerheblich.“ Noch 
bis zum 25. April können Inter- 
essierte den Entwurf kommen- 
tieren. Susanne Schwonbeck 


Weniger verlorenes Gepäck durch RFID-Tags 


Siemens zeigte ein Beispiel für 
eine Förderanlage, die mit Bar- 
code und RFID-Chips versehe- 
ne Gepäckstücke transportiert. 
Das Transportsystem samt 
RFID-Tags und -lesestationen 
wird demnächst am Ausbau 
des internationalen Flughafens 
Wuhan, China, im Einsatz sein. 
Die mit dem IATA-Standard 
RP1740C konforme Anlage 


liest die verwendeten UHF- 
Transponder an insgesamt acht 
Stationen aus. Die Informatio- 
nen werden an nahe den Lese- 
geräten befindlichen Compu- 
tern verarbeitet. Laut Siemens 
soll das Zeit sparen. Ziel der 
Anlage ist es, die Anzahl fehl- 
geleiteter Gepäckstücke zu ver- 
ringern und dadurch Kosten zu 
senken. Susanne Schwonbeck 
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Standardsoftware 


ERP aus Polen: Comarch, 
einer der größten polni- 
schen Softwareanbieter, 
stellte sein neues ERP-Sys- 
tem Altum vor. Die Soft- 
ware basiert auf Microsofts 
Visualstudio.net und SQL 
Server und richtet sich spe- 
ziell an kleine und mittlere 
Handels- und Dienstleis- 
tungsunternehmen. Work- 
flow- und Business-Intelli- 
gence-Tools, zum Beispiel 
zur Planungsumsetzung 
(Balanced Scorecards), ge- 
hören zum Lieferumfang. 


Auf .Net-Pfaden: Seine 
neue Office Line nennt Sa- 
ge „Evolution 2009“. Die 
ERP-Software, konzipiert 
für den Einsatz in Firmen 
mit zehn bis 200 Ange- 
stellten, arbeitet erstmals 
komplett auf .‚Net-Basis. 
Die Benutzerführung 
orientiert sich an Micro- 
softs Office 2007. Mit dem 
neuen System lassen sich 
Rechnungen signieren und 
per E-Mail versenden. Für 
die notwendige Sicherheit 
garantiert der Signaturser- 
vice im Trust-Center der 
Deutschen Post. 


SOA-Einstieg: Die ELO 
Digital Office GmbH wagt 
sich auf das Feld der In- 
frastrukturanbieter und 
zeigte erstmals ihren Busi- 
ness Logic Provider (BLP). 
Die Server-Komponente 
soll Applikationen SOA- 
getreu zu einem unterneh- 
mensübergreifenden Pro- 
zess verzahnen. Mithilfe 
diverser Tools sollen sich 
Unternehmensprozesse 
modellieren lassen. 


Integration: Modus Con- 
sult aus Gütersloh will Mi- 
crosofts Standardsoftware 
Dynamics Nav und das 
DMS/ECM-System ELO 
zusammenführen, und hat 
dazu die Komponente Ar- 
chivelink entwickelt. Sie 
regelt die automatische, 
serverbasierte Ablage und 
Indizierung von Belegen 
sowie die Zuordnung von 
Dokumenten zu Stamm- 
und Prozessdaten in Dyna- 
mics-Nav. Bedient wird sie 
über die Standardsoftware. 
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Nvinity: Version 2.0 mit PPS-Modul 


Das Stockacher Softwarehaus 
Nissen & Velten führte die Ver- 
sion 2.0 seiner .‚Net-Unterneh- 
menssoftware Nvinity vor. Neu 
ist ein Modul zur Produktions- 
planung und -steuerung (PPS) 
inklusive Produktionsleitstand. 
Eine Plantafel visualisiert die 


Auslastung der Ressourcen im 
Zeitverlauf. Hier lassen sich 
auch Produktions- und Betriebs- 
aufträge sowie Arbeitsgänge 
planen. Der Benutzer kann 
Produktions- und Betriebsauf- 
träge zwischenzeitlich „par- 
ken“, wenn Aufträge mit hö- 


Oxaion steuert erstmals auf Prozesskurs 


Ihre in Java entwickelte ERP- 
Suite hat die Oxaion AG um 
eine Business-Process-Manage- 
ment-Suite (BPM) ergänzt. Die 
Process Engine läuft im An- 
wendungsserver von Oxaion 
open und greift direkt auf die 
Geschäftsobjekte in der ERP- 
Software zu. Geschäftsprozes- 


se und Workflows erstellt der 
Planer mithilfe eines grafischen 
Editors. Für Konfiguration und 
Customizing der Software 
musste man bislang den Pro- 
grammcode über Tabellenein- 
stellungen ändern. Das soll 
nun über das Anpassen des 
Prozessmodells zu erledigen 


Wilken wirbt mit leichter Bedienbarkeit 


Der Ulmer Softwarehersteller 
Wilken brachte seine ERP- 
Suite 2008 mit nach Hannover. 
Die bereits in einer Vorversion 
präsentierte Oberfläche hat man 
überarbeitet, um den Mandan- 
tenwechsel sowie die Naviga- 
tion über individuell definierba- 
re Workflows zu vereinfachen. 
Ebenfalls mit Ajax-Antlitz zeigt 
sich die E-Business-Lösung 


Openshop 4.0. Die ERP-Suite 
hält sich bereits jetzt an die 
gesetzlichen Anforderungen 
zum einheitlichen europäi- 
schen Zahlungsverkehr (SE- 
PA) und kann mit den Com- 
pliance-Richtlinien nach dem 
Sarbanes-Oxley Act (SOX) 
sowie mit der zur Terroris- 
musbekämpfung vorgeschrie- 
benen Geschäftspartnerprüfung 


Lebenselixier für Mainframe-Anwendungen 


Ein Werkzeugbündel namens 
Webmethods Application Mo- 
dernization Suite zum Aufpo- 
lieren von Mainframe-Anwen- 
dungen hat die Software AG 
geschnürt. Die Tools sollen 
Altanwendungen in eine SOA- 
Welt hieven. Es gibt drei Vari- 
anten: Die Web Edition dient 
der Webanbindung ohne Ein- 
griff in bestehende Anwendun- 
gen. Sie versieht die „Green- 
Screen“-Programme lediglich 
mit Weboberflächen. Die SQL 
Edition basiert auf den neuen 
Connex-Adaptern und bietet ei- 


ne einheitliche Sicht auf rela- 
tionale und nicht-relationale 
Datenquellen. 

Die SOA-Ausgabe legt das 
Fundament für den service- 
orientierten Betrieb und stellt 
die benötigten Werkzeuge: Ap- 
plinx (Programmdialoge), Ent- 
irex (Entwicklung), Webme- 
thods ESB (Ablauf von Services 
und Orchestrierung) sowie Cen- 
trasite (Service Governance und 
Lifecycle Management). Ent- 
irex 8.0 unterstützt lange Nach- 
richten unter dem Transaktions- 
system CICS sowie asynchrone 


Varial mit Controlling-Werkzeug 


Die Siegener Varial Software 
AG, eine Tochter der Infor- 
Gruppe, ergänzt ihre Finanz- 
management-Software Varial 
World Edition um eine Con- 
trolling-Komponente, den Va- 
rial Planner. Über ihn stoßen 
die Benutzer Analyse- und Pla- 
nungsprozesse an. Das Werk- 
zeug ist in drei Versionen er- 


hältlich. Für den Einstieg eig- 
net sich die Smart Edition, mit 
der sich aus der Gewinn- und 
Verlustrechnung ein Kennzah- 
lensystem erstellen lässt. Zu- 
sätzliche Funktionen für Simu- 
lationen und tiefergehende 
Analysen bietet die Business 
Edition. Die Enterprise Edition 
umfasst acht Planungsebenen, 
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herer Priorität vorgezogen wer- 
den müssen. Mit dem Angebot 
für Einzel-, Kleinserien- und Se- 
rienfertiger will Nissen & Vel- 
ten neue Märkte erschließen. 
Ebenfalls neu sind die Module 
Anlagenbuchhaltung und Ma- 
nagement-Informationssystem. 


sein. Als BPM-Entwicklungs- 
umgebung nutzt Oxaion die 
Eclipse-Plattform einschließ- 
lich des EMF (Eclipse Mode- 
ling Framework) sowie UML 
2.0. Prozessbeschreibungen legt 
das BPM-System im XMI-For- 
mat (XML Metadata Inter- 
change) ab. 


umgehen. Amüsant wirkte in 
diesem Kontext das Stand- 
motto „Demonstration einer 
bedienungsfreundlichen Soft- 
ware“. Eine der ausgestellten 
Figuren im Straßenkämpfer- 
Look trug die gelbe Sonne der 
Anti-AKW-Bewegung mit dem 
leicht abgewandeltem Spruch 
„SAP nein danke“ auf ihrem 
Schild. 


und gesicherte Serviceaufrufe. 
Entwickler sollen so ohne Än- 
derungen Programmcode zu 
‚Net-, J2EE- oder Webservices 
kapseln können. 

Um die Zerlegung von Alt- 
anwendungen in Services zu- 
sätzlich zu fördern, schloss die 
Software AG ein Wiederver- 
käuferabkommen mit Relati- 
vity Technologies. Deren Mo- 
dernization Workbench bietet 
optional die automatisierte 
Analyse, Dokumentation und 
das Refactoring von alten Pro- 
grammen. 


beispielsweise auf der Basis 
von Budget, Prognosen, Best-, 
Worst- oder Real-Cases. Zu- 
dem erlaubt das Tool einen 
von der einzelnen Kostenstelle 
nach oben verlaufenden Pla- 
nungsprozess. Ein rückblicken- 
der Vergleich kann eine Zeit- 
spanne von bis zu fünf Jahren 
umfassen. 
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Embedded World 


embeddedworld2008 


Exhibition&Conference 


Nürnberger Messe auf Wachstumskurs 


Alles drin 


Axel Urbanski, Jürgen Seeger, 


Nikolai Zotow 


Ein passendes Bett hat sich die Embedded World 
in Nürnberg bereitet. Die Messe ist mittlerweile das 
weltweit größte Ereignis in diesem Marktsegment. 


uf circa 30 000 Quadrat- 
metern in vier Hallen stell- 
ten Ende Februar 675 Ausstel- 
ler aus über 60 Ländern ihre 
Lösungen und Produkte aus 
den Bereichen Hardware, 
Tools, Anwendungssoftware 
und Dienstleistungen vor. 
Neben der eigentlichen Aus- 
stellung thematisierte ein Kon- 
gress die aktuellen Themen 
dieses Marktsegments, unter 
anderem Multi-Core-Systeme, 
Lösungen im Automobilbau, 
TCA, Digital Signal Proces- 
sing und Fragen der Architek- 
tur im Embedded-Bereich. 
Intel präsentierte im Rah- 
men einer Pressekonferenz 
neue Prozessoren für den Em- 
bedded-Markt auf Basis der 
45-nm-Fertigungstechnologie. 
Die neuen Xeon-5400-Quad- 
Core- und Xeon-5200-Dual- 
Core-Prozessoren eignen sich 
laut Hersteller in Verbindung 
mit dem 5100 Memory Con- 
troller Hub (MCH) für wär- 
meempfindliche Blade-Umge- 


Wachsende Bedeutung 

von Embedded Software: 
Keynote-Redner Bharat 
Balasubramanian (Daimler AG) 
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bungen wie den Einsatz in 
Speicherlösungen, Routern oder 
medizinischen Geräten. 


Sparsamer 
und schneller 


Laut Hersteller verringert die 
eingesetzte HKMG-Halbleiter- 
technik (High-k Metal Gate) 
nicht nur den Stromverbrauch, 
sondern steigert auch die 
Schaltgeschwindigkeit. Der Li- 
fe-Cycle-Support für die neuen 
Prozessoren wurde von fünf 
auf sieben Jahre verlängert — 
ein klares Signal in Richtung 
verlässliche Liefersituation. In- 
tel-Konkurrent AMD gibt eine 
Zeitspanne von fünf Jahren an, 
die individuell vertraglich ver- 
längert werden kann. 

Mit dem ADP1043 geht 
Analog Devices im Bereich 
der Stromversorgung neue 
Wege. Der Netzteilsteuerchip 
verfügt über eine I’C-Schnitt- 
stelle (Inter IC Bus) zur Steue- 
rung des Chips, was den Ent- 
wurf intelligenter Netzteile 
erheblich erleichtern soll. Die 
wichtigen Eigenschaften der 
Stromversorgung lassen sich 
via Software einstellen und 
überwachen. 

Texas Instruments (TI) gab 
erste Informationen über die 
mit der neuen „Multi-Core“- 
Application-Prozessorfamilie 
OMAP3S5x verfolgte Strategie. 
Es handelt sich dabei nicht um 
klassische Multi-Core-CPUs, 
sondern um die Vereinigung 
verschiedener Rechenkerne auf 
einem Chip. Gemeinsam ist al- 
len ein ARM-Cortex-A8-Kern. 


Die Familie wird mit der Zeit 
auf vier pin- und softwarekom- 
patible Bausteine wachsen. Die 
einzelnen Mitglieder unter- 
scheiden sich durch die Zu- 
sammenstellung der weiteren 
Kerne. Es soll mindestens noch 
einen DSP und einen 2D-/3D- 
Grafikkern geben. 

Wind River, unter anderem 
bekannt für hardwarenahe und 
integrierte Entwicklungsum- 
gebungen, zeigte seine Erwei- 
terung für die neuesten Pro- 
zessoren. Die Wind River 
Workbench erlaubt das On- 
Chip-Debugging über die 
JTAG-Schnittstelle. Voraus- 
setzung ist eine JTAG-Box 
wie Wind River ICE. Für die 
linuxbasierte Mobilfunkplatt- 
form Android waren verschie- 
dene Anpassungen an Prozes- 
soren wie OMAP3430 von TI, 
Nomadik-CPUs von STMi- 
croelectronics sowie NECs 
Medity M2 zu sehen. 

Der Fraunhofer Verbund 
für Informations- und Kom- 
munikationstechnik präsen- 
tierte Systeme im Automobil- 
bereich wie die Initiative 
AUTOSAR. Dabei handelt es 
sich um eine Spezifikation 
für die Laufzeitumgebung von 
Software in Fahrzeugen. Das 
Fraunhofer-Institut für Inte- 
grierte Schaltungen stellte sei- 
ne Sensornetztechnik am 
Beispiel der Fernablesung 
von Gaszählern vor. In Zu- 
sammenarbeit mit der österrei- 
chischen Firma Veraut werden 
Haushaltszähler mit preisgün- 
stigen Funkknoten statt teuren 
GSM-Modulen ausgestattet, 
die ihre Daten an einen Mas- 
terknoten übermitteln. Von 
dort werden sie wiederum 
über Powerline Communica- 
tion an einen Zentralserver 
übersandt. 


Modellierung 
via UML gefragt 


Bei Frauenhofer FOKUS ging 
es darum, neue Fahrzeugfunk- 
tionen in einem Fahrsimulator 
zu erproben. Als Werkzeuge 
kommen modellbasierte Tools 
zum Einsatz, die auf Basis der 
Unified Modeling Language 
arbeiten. UML respektive Mo- 
dellierung und andere „moder- 
ne“ Ansätze der Softwareent- 
wicklung stießen überhaupt auf 
großes Interesse in Nürnberg. 
So war ein einführender UML- 
Vortrag eines Willert-Consul- 


tants übervoll, und an vielen 
Ständen war zu hören, dass 
man eine schnellere Adaption 
der aus der Mainstream-IT be- 
kannten Methoden erwarte. 
Bei Willert war auch das Em- 
bedded UML Studio auf Rhap- 
sody-Basis zu sehen, mit 
UML-2.0- und SysML-Unter- 
stützung. 

Auf die Model Driven Ar- 
chitecture (MDA) und SOA 
setzt das Beratungshaus Ite- 
mis, das für sein Integrations- 
projekt Yakindu von der Inno- 
vationsinitiative „Deutschland 
— Land der Ideen“ ausgezeich- 
net wurde. Yakindu soll den 
Entwicklern von Embedded 
Software Werkzeuge an die 
Hand geben, mit denen sie 
schneller und besser program- 
mieren und testen können. Im 
Mittelpunkt stehen möglichst 
genaue digitale Modelle der 
zu entwickelnden Systeme, 
mit deren Hilfe Teile der Soft- 
ware automatisch erzeugt, ihre 
Wirkung simuliert und das 
Zusammenspiel mit den ande- 
ren Komponenten geprüft 
werden kann. 

Artisan Studio ist ein weite- 
res Modellierungswerkzeug für 
komplexe technische Systeme, 
unterstützt UML 2.0 und 
SysML sowie die Program- 
miersprachen Ada, C, C++, C# 
und Java. Es läuft auf Win- 
dows als Single- oder Multi- 
user-Client, inklusive Support 
für Microsofts und Citrix’ Ter- 
minal Server. 


Den Lebenszyklus 
im Blick 


Anderes Hype-Thema in der 
Softwareentwicklung derzeit: 
Application Lifecycle Manage- 
ment. Polarion zeigte sein Tool 
ALM for Subversion, das auf 
Grundlage der freien Versions- 
verwaltungssoftware eine Pla- 
nung des gesamten Prozesses 
vom Design über das Testen 
bis zur Wartung ermöglicht. 
MKS fokussierte seinen Auf- 
tritt auf Application Lifecycle 
Management, das Softwarepa- 
ket Integrity soll ein nahtloses 
Zusammenspiel von Require- 
ments-, Test-, Release-, Konfi- 
gurations- und Change-Ma- 
nagement ermöglichen. Die 
ITIL-zertifizierte Suite ist mul- 
tiplattformfähig und ermöglich 
die Integration in Help-Desk- 
Umgebungen. Auffällig oft 
tauchten im Zusammenhang 
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mit Softwareentwicklung die 
Begriffe Qualitätssicherung 
und Testen auf. 

Pars pro toto genannt seien 
etwa Vectorcast und die Tools 
der Oldenburger Embedded 
Systems AG. Ersteres ist ein 
von QA Systems vertriebenes 
Tool zum automatischen Testen 
von C- und C++-Programmen. 
Neben Unit- und Integrations- 
Tests unterstützt es unter ande- 
rem Code-Abdeckungsanaly- 
sen und benutzerdefinierte 
Tests der Erfüllung von An- 
forderungen (www .vectorcast. 
com). Die Oldenburger sind 
mit zwei Werkzeugen im Um- 
feld modellbasierten Testens 
aktiv: Embedded Validator 
und Targetlink Model Che- 
cker, mit denen beispielsweise 
ein automatischer Robustheit- 
stest möglich ist. 

Auch der universitäre Be- 
reich war in Nürnberg vertre- 
ten. Über Benchmark-Ansätze 
und -algorithmen informierte 
die Hochschule Harz, die 
Technische Universität Ilme- 
nau zeigte zwei Projekte. Eins 
beschäftigt sich mit frühen 


Entwicklungsphasen im Sys- 
tementwurf, das andere mit 
verteilten eingebetteten Syste- 
men im Automobilbereich. 
Die Schweizer Hochschulen 
waren mit einem Gemein- 
schaftsstand präsent. Unter 
anderem bot dort die Fach- 
hochschule Nordwestschweiz 
die Portierung von Linux auf 
spezielle Hardwareplattfor- 
men inklusive Entwicklungen 
von Gerätetreibern an. 


Im boomenden 
Marktsegment 


Die Embedded World hat sich 
auch dieses Mal gegenüber dem 
Vorjahr erweitert. Waren im 
Jahr 2007 noch 590 Unterneh- 
men auf der Messe präsent, ha- 
ben sich dieses Jahr schon 670 
Aussteller für einen Messeauf- 
tritt entschieden, davon 40 % 
aus dem Ausland. Laut Veran- 
stalter vergrößerte sich die Aus- 
stellungsfläche um 18 %. Die 
nächste Embedded World fin- 
det vom 3. bis 5. März 2009 in 
Nürnberg statt. (JS) 
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Embedded World 


iX-Veranstaltungen 


Gleich drei neue Veranstaltun- 
gen können wir dieses Mal an- 
kündigen. Der Reihe nach: 


— Die erfolgreichen zweitägigen 
Workshops zum Thema Compu- 
ter-Forensik mit Alexander Ge- 
schonneck, dem deutschen Fo- 
rensik-Spezialisten, als Referent 
finden auch in diesem Jahr statt, 
und zwar im Juni in Berlin und 
München. Die Veranstaltung bie- 
tet Sicherheitsbeauftragten, Ad- 
ministratoren, Beratern und IT- 
Revisoren die Möglichkeit, sich 
in Theorie und Praxis der digita- 
len Spurensuche einzuarbeiten. 


—Mit der Windows PowerShell 
hat Microsoft die Macht der 
Kommandozeile entdeckt. Aller- 
dings ist deren Nutzung nicht 
ganz trivial, sprich: Man tut gut 
daran, sich ein bisschen einzuar- 
beiten; etwa durch den Besuch 
eines der dreitägigen Power- 
Shell-Seminare, die unser lang- 
jähriger Autor Holger Schwich- 
tenberg im April, Juni und 
Oktober in Essen anbietet. Kore- 
ferent ist Peter Monadjemi, auch 
nicht gerade ein Unbekannter im 
Windows-Umfeld. 


— Im Juni sollten mindestens die- 
jenigen einen Tag freischaufeln, 
denen der Ausdruck „die drei 
Amigos“ etwas sagt. Damit ge- 
meint sind die UML-Erfinder 
Grady Booch, James Rumbaugh 
und Ivar Jabobson. Letzterer 
führt in die Ganz-weit-vorne- 
Trends der Softwareentwicklung 
ein. Unter dem bescheidenen Ti- 
tel „Back to Basics“ geht es um 
„Getting Good Software Quick- 
ly and at Low Cost“. Frankfur- 
ter, Hamburger, Münchner und 
Stuttgarter müssen nicht einmal 
das Reisekostenbudget belasten. 


Wer an diesen vier Juni-Termi- 
nen absolut nicht kann, schafft es 
vielleicht zur Teamconf 2008, 
der Konferenz zu Microsofts Vi- 
sual Studio Team System vom 
22. bis 24. April in München. 
Dort tritt Ivar Jacobson nämlich 
als Keynote-Redner auf. 


Und: Wie angekündigt, haben 
wir noch zwei weitere Kerbe- 
ros-Workshops organisiert, im 
April und Juni in Düsseldorf res- 
pektive München, da die ersten 
drei Termine ausgebucht waren. 


Details zu allen Veranstaltungen 
sind wie gewohnt auf der Konfe- 
renz-Website www.ix-konferenz. 
de zu finden. 


Zwei der bekanntes- 
ten Autoren zu 
Windows-Themen in 
Deutschland: Holger 
Schwichtenberg 
(links) und Peter 
Monadjemi (rechts) 
vermitteln ihr Wissen 
über die PowerShell. 


Heise-Security-Konferenz: 
Was die sichere Firmen-Website kostet 


Die diesjährige Heise-Security- 
Konferenz „Die sichere Firmen- 
Website“ legt den Schwerpunkt 
auf die Kosten-Nutzen-Analyse 
von  Sicherheitsinvestitionen. 
Dazu analysieren ausgewählte 
Experten unterschiedliche Be- 
drohungsszenarien, präsentieren 
mittel- und langfristige Strate- 
gien zur Erhöhung der Sicher- 
heit und geben einen Überblick 
über die gängigen Tools und 
Produkte. Ein separater Vortrag 
beschäftigt sich mit der Aus- 
wahl des richtigen Bezahlsys- 
tems. Der für die Onlinesicher- 
heit der größten Schweizer 
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Bank Zuständige gewährt Ein- 
blicke in seinen Erfahrungs- 
schatz. Und der Justiziar des 
Heise-Verlags sorgt für mehr 
Rechtssicherheit im Dschungel 
von Haftungsrisiken und Ha- 
ckerparagrafen. 

Die eintägige Veranstaltung 
findet am 17. April in Karlsru- 
he, am 24. April in Düsseldorf, 
am 29. April in München und 
am 6. Mai in Hamburg statt. 
Weitere Details und Anmelde- 
informationen finden sich auf 
den Konferenzseiten von Heise 
Events: www.heise.de/events/ 
2008/heisec_konferenz/ 


Open Source in Embedded Systems 


Der Messeauftritt des Open 
Source Automation Develop- 
ment Lab (OSADL, www. 
osadl.org) zeigte auch in diesem 
Jahr die wachsende Bedeutung 
von Open Source im Embed- 
ded-Systems-Umfeld. Die En- 
de 2005 gegründete Genos- 
senschaft hat mittlerweile 21 
Mitglieder, überwiegend im 
deutschsprachigen Raum. Kurz 
vor der Messe war der Darm- 


GUI im Gerät integriert 


Die österreichische Firma Ajax- 
up zeigte ihre gleichnamige 
Lösung, die es ermöglicht, ein 
HTML-Javascript-GUI auf Mi- 
cro-Devices unterzubringen. 
Dabei geht es vor allem auch 
um solche Systeme, die keinen 
Platz für einen TCP/IP-Stack 
haben. Als Beispiele zeigen die 


‚Net für Kleinstgeräte 


Microsoft stellte auf seinem 
Stand eine neue Version des 
‚Net Micro Framework für 
Kleinstgeräte vor. Es bietet 
Unterstützung für Web Services 
on Devices (WSD) und einen 
integrierten TCP/IP-Stack. Die 
Implementierung des Device 
Profile for Web Service ist 
nun mit der in Vista und ande- 
ren Produkten aus Redmond 
kompatibel. 

Das WSD ermöglicht den Aus- 
tausch von Geräteinformatio- 


städter GUI-Spezialist Basys- 
kom beigetreten, bekannt ge- 
worden unter anderem durch 
sein Open Palmtop Integrated 
Environment (OPIE). 

Die Mitgliedsfirmen decken 
unterschiedliche Aspekte der 
Softwarenutzung in Embed- 
ded Systems ab. Der nächste 
OSADL-Messeauftritt ist im 
April auf der HMI im Applica- 
tion Park in Halle 17. 


Entwickler einen Zigbee-Sen- 
sor mit 90 KByte Speicher und 
eine 70 KByte große Smart- 
card, die über die jeweils vor- 
handenen Kommunikationspro- 
tokolle angesprochen werden 
können und daraufhin ihre Be- 
dienoberfläche schicken. De- 
tails: www.ajaxup.com 


nen, die nötig sind, um eigene 
Ressourcen im Netz bereitzu- 
stellen. Außerdem zeigte der 
Softwarehersteller eine in Zu- 
sammenarbeit mit IBM erstell- 
te Point-of-Service-Lösung für 
den Einzelhandel und das Ho- 
telgewerbe. Windows Embed- 
ded for Point of Service (WE- 
POS) wird zukünftig auf Big 
Blues Point-of-Sale-Systemen 
Anyplace Kiosk, Self-Checkout 
und SurePOS 700 zum Einsatz 
kommen. 


Virtualisierung mit Lynxsecure 


Version 2.0 von Lynxsecure 
stellte der kalifornische Anbie- 
ter Lynuxwork vor, einen „Se- 
paration Kernel und Embedded 
Hypervisor“. Lynxsecure 2.0 
virtualisiert die zugrunde liegen- 
de Hardware, um sie mehreren 
Betriebssystemen parallel anbie- 
ten zu können. Dem Embedded 
Hypervisor fällt dabei die Auf- 
gabe zu, die Koexistenz von 
Echtzeitbetriebssystemen wie 


dem hauseigenen RTOS mit 
„normalen“ Betriebssystemen 
wie Linux oder Windows herzu- 
stellen. Der Separation Kernel 
sorgt für die Aufteilung der 
Ressourcen sowie eventuellen 
Datenaustausch zwischen den 
verschiedenen Partitionen. 
LynxSecure 2.0 soll ab Som- 
mer 2008 erhältlich sein und 
läuft laut Hersteller auf allen 32- 
und 64-Bit-CPUs mit MMU. 


Patientenabrechnung mit Linux 


Der Kartenleser „Medcom- 
pact“ von Thales-e-Transac- 
tions, der ab Mitte Juli 2008 in 
Deutschland verfügbar sein 
soll, läuft unter der Embedded- 
Linux-Distribution ELinOS 
des Herstellers Sysgo. Der in 


der Patientenabrechnung ein- 
setzbare Kartenleser verfügt 
über Open SSH für die Daten- 
verschlüsselung und soll nach 
dem Signaturgesetz von der 
Bundesnetzagentur EAL 3+ 
zertifiziert werden. 
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Virtualisierung 


VMworld Europe 2008 


Über den Teich 


Jörg Riether 


Automatisches Desaster Recovery, überwachte 
Gastsysteme und Portabilität bildeten die 
thematischen Highlights der ersten VMworld Europe. 


rstmals fand die VMworld, 

Hausmesse VMwares und 
größte Virtualisierungskonfe- 
renz, den Weg über den Atlan- 
tik nach Europa. Über 4500 
Teilnehmer kamen Ende Febru- 
ar nach Cannes, um sich im Pa- 
lais des Festivals über die ak- 
tuellen Virtualisierungstrends 
zu informieren. Und die gehen 
gebündelt in eine Richtung: Si- 
cherheit in all ihren Facetten. 
Angefangen bei Desaster-Reco- 
very-Szenarien bis hin zur Si- 
cherheit der Gastsysteme. 

Das war noch zu Beginn der 
Konferenz nicht zu erwarten: 
VMwares CEO Diane Greene 
richtete ihre Keynote vor allem 
am momentanen Hype Desk- 
top-Virtualisierung aus. Dazu 
zeigte sie in einer Live-Demo, 
wie man einen virtuellen Desk- 
top etwa vor einer Reise ein- 
fach auf die lokale Festplatte 
seines Notebooks „aus-che- 
cken“ kann. Die Software 
schreibt eine Art Replikat auf 
die Festplatte, und danach kann 
man diese virtuelle Maschine 
(VM) einfach mitnehmen und 
lokal starten. Der Clou: Kommt 
man später wieder zurück und 
hat Zugriff auf das Host-Sys- 
tem, oder hat man unterwegs 
etwa über VPN Zugriff auf das 
LAN, kann man seine verän- 
derte Version einfach mit dem 
Host synchronisieren. Ein smar- 
ter Seitenhieb in Richtung Mi- 
crosoft durfte natürlich nicht 
fehlen: „I think the most time- 
consuming part of this demo is 
booting Windows.“ 

Abschließend präsentierte sie 
als kleines Schmankerl ein Pro- 
jekt aus dem jüngsten Zukauf 
Thinstall. Auf einem Rechner, 


Der Meister in seinem Element: 
Chef-Vordenker Mendel 
Rosenblum stellt die jüngsten 
VMware-Entwicklungen vor. 
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der kein Microsoft Visio instal- 
liert hatte, startete sie Visio in 
einer einzigen Datei von einem 
USB-Stick. Intern führt VM- 
ware Thinstall als Beta unter 
dem Codenamen „Project North 
Star“ und gab es noch am er- 
sten Konferenztag zum Down- 
load für interessierte Beta-Tes- 
ter unter www.vmware.com/ 
beta/northstar frei. An dieser 
Stelle sei noch auf eine echte 
Besonderheit hingewiesen: Ein 
Thinstall-Programm ist eine 
einzelne .exe-Datei, die man 
von einem beliebigen Ort aus 
starten kann, auch ohne jegli- 
che Adminrechte. 


Servicepakete 
zum Herunterladen 


VMwares Chef-Vordenker 
Mendel Rosenblum, der mit 
seiner Rede den zweiten Konfe- 
renztag eröffnete, stellte gleich 
zwei neue Techniken vor: 
vServices und VMsafe. Hinter 
vServices verbirgt sich ein 
neuer Ansatz von Virtual Ap- 
pliances. Verstand man bislang 
darunter eine einzelne virtuelle 
Maschine, die man aus dem 
VMTN (VMware Technology 
Network) herunterladen konnte, 
geht man bei VMware einen 
Schritt weiter: Demnächst kann 
man ganze Services herunter- 
laden, auch wenn ein einzelner 


zum Beispiel aus mehreren 
VMs besteht. Sie alle sind in ei- 
nem einzigen Paket gebündelt 
und lassen sich komplett als sol- 
ches starten. Außerdem kom- 
men die vServices im Open Vir- 
tualization Format (OVF) und 
haben Metadaten an Bord, die 
Details wie virtuelle Ressour- 
cenzuweisungen enthalten. 

VMsafe hingegen realisiert 
ein neues Sicherheitskonzept. 
Man darf sich unter VMsafe 
ein Set aus diversen APIs vor- 
stellen, die Zugriffe von 
außerhalb der virtuellen Ma- 
schine auf den jeweiligen 
Speicher, die CPU, die Fest- 
platte und die Netzwerkkarte 
der VM gestatten und zwar 
laut Rosenblum in Echtzeit 
auf „jedes einzelne Byte“. In 
der zugehörigen Live-Demons- 
tration war eine solche Protec- 
tion Engine zu sehen, die den 
Hauptspeicher einer VM als 
Memory Map live grafisch dar- 
stellte. Sie erkannte eine ein- 
geschleuste Malware von au- 
ßen auf Hypervisor-Level und 
stoppte sie, bevor ein Benutzer 
sie in der eigentlichen virtuel- 
len Maschine ausführen konn- 
te. Rosenblum betonte, dass 
VMware in dieser Richtung be- 
reits mit Sicherheitsunterneh- 
men wie McAfee, Checkpoint, 
Symantec, Trend und Sophos 
eng zusammenarbeitet. 

Zur Idee der Continuous 
Availability, einer echten Repli- 
kation aller Änderungen inner- 
halb einer VM auf ein zweites 
Live-System, gab Rosenblum 
keine weiteren Details bekannt. 
Er hatte sie erstmals auf der 
VMworld 2007 in San Francis- 
co vorgestellt, wo sie viel Be- 
achtung fand. Darauf darf man 
auch weiterhin gespannt sein, 
würde es doch die Desaster 
Recovery grundsätzlich neu 
definieren. 


Eher im Stillen stellte 


VMware ein echtes Highlight 
vor: Der Site Recovery Mana- 
ger, ein neuartiges Automatisie- 


rungstool für Desaster-Recove- 
ry-Szenarien im SAN (Storage 
Area Network), erregte einiges 
Aufsehen. Zwar will das Soft- 
warehaus die erste Release 
voraussichtlich erst im Mai 
freigegeben, dennoch konnte 
man sich am Dell-Equallogic- 
Stand einen umfassenden Ein- 
druck davon verschaffen. Der 
Site Recovery Manager soll 
die komplette Desaster-Fail- 
over-Interaktionen zwischen 
Virtual Center und dem jewei- 
ligen SAN komplett automati- 
sieren — sowohl als Simula- 
tionslauf als auch im Ernstfall. 
Darunter fallen etwa die Unter- 
brechung der aktiven Replika- 
tion, die Hochstufung des Re- 
plikats zum Master und ihre 
produktive Übernahme. 

Voraussetzung dafür ist eine 
Unterstützung der entsprechen- 
den Speicher-Subsysteme durch 
VMware, da der Site Recovery 
Manager in der Lage sein muss, 
entsprechende Instruktionen an 
sie zu senden und von ihnen zu 
empfangen. Bei Dell-Equallo- 
gic sah das Ganze bereits jetzt 
recht ausgereift aus: In der Vor- 
führung konnte er mehrere 
virtuelle Maschinen, die ei- 
nem simulierten Subsystem- 
Crash zum Opfer fielen, auto- 
matisch wiederherstellen. 

Im Ausstellungsbereich der 
Konferenz tummelten sich un- 
ter den zahlreichen Anbietern 
auch die direkten Konkurrenten 
Citrix, Microsoft und Parallels, 
die alle drei als Gold-Sponsoren 
auftraten. Parallels hat zurzeit 
den Parallels Server, Microsoft 
sein Hyper-V in der Mache, das 
sich momentan im Beta-Sta- 
dium befindet. Beide Produkte 
sind für Mitte des Jahres zu 
erwarten. 

Die Serverhersteller Dell, 
HP, IBM und Fujitsu-Siemens 
kündigten währenddessen Ser- 
vermodelle mit vorinstalliertem 
ESX 3i Hypervisor an, von de- 
nen inzwischen das eine oder 
andere verfügbar sein sollte. 

Insgesamt nahmen die Besu- 
cher die erste Auflage der euro- 
päischen VMworld überaus 
positiv auf. Sie dürfte sich be- 
reits zum jetzigen Zeitpunkt als 
fester Bestandteil der VMworld- 
Konferenzen etabliert haben. 
Nächster Termin im VMworld- 
Kalender ist der September. 
Dann öffnet die VMworld 2008 
in Las Vegas ihre Tore. Dort 
darf man dann auf mehr Details 
zum Thema Continuous Avai- 
lability hoffen. (sun) 
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Scripting 


10. Deutscher Perl-Workshop ohne Perl 6 


Kein Ende in Sicht 


Christian Kirsch 


Auch nach zehn Jahren hat der Deutsche Perl- 
Workshop nichts von seinem Charme verloren. Auf 
Neuigkeiten von Perl 6 wartete man zwar vergeblich, 
dafür gab es jedoch tiefe Einblicke in die aktuellen 
Möglichkeiten der Skriptsprache. 


V: vielen anderen Veran- 
staltungen unterscheidet den 
Deutschen Perl-Workshop, dass 
ihn Privatleute in ihrer Freizeit 
organisieren. Das hält die Kos- 
ten konkurrenzlos niedrig und 
schafft eine familiäre Atmo- 
sphäre. Zu erfahren war dies 
erneut bei der Ende Februar 
zum zehnten Mal stattfinden- 
den Auflage der Veranstaltung. 

Zwar fehlten diesmal die 
internationalen Perl-Stars, im- 
merhin war in der Vergangen- 
heit Damian Conway zweimal 
zu Vorträgen angereist. Aus- 
gleich schafften jedoch einhei- 
mische Größen, von denen un- 
ter anderem Andreas König und 
Marc Lehmann bereits beim 
ersten Workshop vorgetragen 
hatten. König beschrieb dies- 
mal den aktuellen Stand der öf- 
fentlichen Modul-Tests und for- 
derte die Teilnehmer auf, sich 
daran zu beteiligen, denn nur 
durch zahlreiche Tester lasse 
sich die Qualität der Perl-Mo- 
dule gewährleisten. 


Best Practices im 
Doppelpack 


Maximilian Maischein steuerte 
ein Tutorial zur Perl-Program- 
mierung für Fortgeschrittene 
bei sowie einen Vortrag über 
Web::Scraper, das über sein ei- 
genes Modul Web::Mechanize 
hinausgehende Fähigkeiten zum 
automatischen Auswerten von 
Webseiten bietet. Steffen Wink- 
ler und Renee Bäcker befassten 
sich mit Damian Conways Buch 
„Perl Best Practices“. Ersterer 
hatte einen Beitrag zu seinen Er- 
fahrungen damit angekündigt, 
beschränkte sich jedoch auf ein 
langatmiges Referieren von 
Conways Vorschlägen. Bäcker 
stellte Perl::Critic vor, mit 


dem sich Kodierungsrichtlinien 
kontrollieren lassen. Dieses 
Modul verwendet sogenannte 
Policy-Dateien, von denen die 
meisten auf „Perl Best Practi- 
ces“ beruhen. 

Nur mittelbar mit Perl hatte 
Tina Müllers Beitrag über 
Cross-Site Scripting und Cross- 
Site Request Forgery zu tun. Sie 
präsentierte ein Verfahren, mit 
dem Script-Autoren den Miss- 
brauch ihrer Webseiten durch 
Angreifer verhindern können. 
Es beruht im Wesentlichen auf 
unsichtbaren Feldern in Web- 
formularen, deren benutzerab- 
hängigen Inhalt die Website 
regelmäßig modifiziert. 

Dass Perl trotz des zuneh- 
menden Einsatzes von Ruby, 
Python und PHP immer noch 
im Unternehmensumfeld eine 
wichtige Rolle spielt, illustrier- 
ten die Beiträge von Stefan 
Hornburg zu Request-Trackern 
und von Wolfgang Kinkeldei 
über die Druckvorlagenherstel- 
lung mit Perl und Applescript. 
Das von ihm vorgestellte Ver- 
fahren kommt beim Produzie- 
ren von Etiketten für Sportschu- 
he zum Einsatz. 

Ganz und gar ruhig blieb es 
um das Thema „Perl 6°“; weder 
zu Parrot noch zu Pugs gab es 
Vorträge. Auch Jonathan Wor- 
thingtons „Parallel New World“ 
befasste sich nur mit möglichen 
Parallelisierungstechniken, die 
unter Umständen in die nächste 
Version der Sprache einziehen 
könnten. In Gesprächen war 
immer wieder Skepsis zu spü- 
ren, ob es jemals ein Perl 6 ge- 
ben werde. Die Arbeit daran 
dauert nun schon seit 2000 an. 

Im nächsten Jahr soll der 
Deutsche Perl-Workshop in 
Frankfurt/Main stattfinden, or- 
ganisiert von der dortigen Perl- 
Mongers-Gruppe. (ck) 
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MARKT + TRENDS 


Benutzerschnittstellen 


Tangible and Embedded Interaction in Bonn 


Touch me 


Christian Geiger 


Drahtlose Netzwerke, günstig verfügbare Sensoren 
und die Miniaturisierung leistungsfähiger 
Recheneinheiten haben in den letzten Jahren einen 
neuen Schwerpunkt in der Mensch-Maschine- 


Kommunikation ermöglicht. 


angible and Embedded 

Interaction (TEI)“ heißt das 
Gebiet, in dem Forscher welt- 
weit daran arbeiten, die Inter- 
aktion mit Anwendungen (be-) 
greifbar zu machen. Auf der 
diesjährigen TEI-Konferenz — 
vom 18. bis 20. Februar — konn- 
ten 150 Wissenschaftler aus der 
ganzen Welt ihre Erkenntnisse 
austauschen. 

„Informationen unauffällig 
an nützlichen Orten und zu an- 
gebrachten Zeiten einzubetten, 
ohne dass vom Benutzer ein 
ausdrücklicher Befehl erwartet 
wird“ ist für Professor Albrecht 
Schmidt von der Universität 
Duisburg-Essen eines der Zie- 
le. Er verdeutlichte dies am 
Beispiel einer High-Tech Visi- 
tenkarte: Legt man sie aufs Te- 
lefon, initiiert sie einen Anruf, 
hält man sie an einen Bilder- 
rahmen, werden Bilder der Per- 
son angezeigt und nähert sie 
sich schließlich einem Web- 
browser, wird die Homepage 
der Person geöffnet. 

Ein Schwerpunkt der vorge- 
stellten Projekte war die Mu- 
sikerzeugung. Die belgische 
Firma Percussa präsentierte ihr 
Produkt Audiocubes. Dabei 
benutzt man handgroße trans- 
parente Würfel zur Audiosyn- 
these, die durch LEDs im In- 
nern unterschiedliche Farben 
annehmen können. Die Würfel 
sind mit Ein- und Ausgängen 
für Audio ausgestattet und be- 
sitzen an jeder Seite einen In- 
frarotsensor, der andere Würfel 
in der Umgebung entdecken 
kann. Je nachdem, welche Wür- 
felseiten in welchem Abstand 
zueinander stehen, lassen sich 
Töne erzeugen, Effekte modu- 
lieren oder über einen ange- 
schlossenen Rechner Synthe- 
sizeranwendungen steuern. Da 
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jeder Würfel einen eigenen di- 
gitalen Signalprozessor be- 
sitzt, ist eine Musikerzeugung 
ohne angeschlossenen Rech- 
ner möglich. 

Ein ähnliches Interaktions- 
konzept verfolgt das Projekt 
Xenakis der Uni Augsburg, 
das als innovativste Idee auf 
der Konferenz ausgezeichnet 
wurde. Verschieden geformten 
Spielsteinen sind bestimmte 
Instrumente, Tonhöhen und 
Tonlängen zugeordnet. Legt 
man die mit Markierungen an 
der Unterseite versehenen Ob- 
jekte auf eine Glasplatte, er- 
kennt eine darunter montierte 
Kamera die Position und wan- 
delt diese in Toneffekte um. 
Die Entfernung der Steine zu- 
einander bestimmt, welches 
Instrument welchen Ton mit 
welcher Dauer spielt. Bei 
mehreren Möglichkeiten ent- 
scheidet ein Zufallsalgorith- 
mus in Abhängigkeit von der 


Entfernung zwischen den Ob- 
jekten. 

Steffi Beckhaus von der Uni- 
versität Hamburg bot mit ihrem 
„Granulatsynthese“-Projekt ein 
besonderes audio-haptisches 
Erlebnis. Bewegt der Benutzer 
seine Hände in einer Menge 
von Vinylgranulat auf einem 
Glastisch, wird dies durch eine 
Kamera unter dem Tisch er- 
kannt. Das Auftürmen von 
Bergen oder Aushöhlen von 
kleinen Mulden verändert die 
Transparenz der Substratmenge 
und erzeugt einen veränder- 
lichen Klangteppich meditati- 
ven Sounds (s. Abbildung). 

Man spürt förmlich das Er- 
zeugen der Töne mit den Hän- 
den. Noch einen Schritt weiter 
geht das Projekt „DrawSound“ 
des Japaners Kazuhiro Jo von 
der Universität Tokio. Er ver- 
folgt die Pinselführung beim 
Malen und bildet Länge, Di- 
cke oder Schwung des Pinsel- 
strichs auf Audioparameter ab. 
Je nach Mapping ertönen hö- 
here und leisere Töne, je mehr 
am oberen linken Bildrand ge- 
malt wird. Ein klassisches Mu- 
sikstück wird schneller ge- 
spielt, je schneller sich der 
Pinsel über die Leinwand be- 
wegt — man malt praktisch die 
Musik. 

Eine kurze Zusammenfas- 
sung aller Projekte, viele Fo- 
tos und weitere Informationen 
zu dieser spannenden und gut 
organisierten Konferenz findet 
man unter www .tei-conf.org. 
Im nächsten Jahr treffen sich 
die User-Interface-Spezialis- 
ten im englischen Cambridge. 

(WM) 


Klänge mit den Händen formen: das Granulatsynthese-Projekt 
der Universität Hamburg 
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MARKT + TRENDS 


Mobile Computing 


GSSMA. 


IMOBILE. 


WORLDC 


Mobile World Congress in Barcelona 


Das Netz 
rückt näher 


Kay Glahn 


Nachdem der 3GSM World Congress vor zwei 
Jahren von Cannes nach Barcelona umgezogen ist, 
hat er nun seinen Namen geändert und firmiert als 
Mobile World Congress. Branchengrößen wie 
Nokias Chef Olli-Pekka Kallasvuo sowie die CEOs 
von Cisco und Vodafone beschrieben den aktuellen 


mobilen Markt. 


ichtiges Thema des Mo- 

bile World Congress 
war neben mobilen Diensten 
und Übertragungsverfahren 
der nächsten Generation vor 
allem der Wettbewerb zwi- 
schen den großen Netzbetrei- 
bern und Geräteherstellern. 
Zahlreiche Dienste und wach- 
sende Bandbreite wiesen dar- 
auf hin, dass das mobile In- 
ternet nun Realität wird. 
Außerdem setzen sich anschei- 
nend GPS-Empfänger in Mo- 
biltelefonen durch. Hersteller 
wie Nokia, Toshiba, HTC und 
Samsung haben solche Geräte 
vorgestellt, und einige bieten 
dazu passende Dienste an. Der 
Navigationsgerätehersteller Gar- 
min stellte mit dem Nüvi- 
phone ein Handy mit Touch- 
screen vor, das Telefonie, 
Internet und GPS in einem Ge- 
rät vereint und beispielsweise 
Google-Ergebnisse nach der 
Entfernung vom Standort ord- 
nen kann. 

Viele Firmen kündigten neue 
Dienste oder Partnerschaften 
an. T-Mobile will mit Yahoo 
und nicht mehr wie bisher mit 
Google zusammenarbeiten, und 
Nokia tut sich mit Google und 
Orange zusammen. Google lie- 
fert dabei die Basis für „Nokia 
Search“, das sowohl eine lokale 
als auch eine netzweite Suche 
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bietet. Mit Orange will man bei 
ortsbezogenen Diensten, Kar- 
ten, mobiler Werbung und 
Spielen zusammenarbeiten - al- 
les Bereiche, in denen Nokia 
bereits mit seinem OVI-Service 
aktiv ist. Maps 2.0, die neue 
Version von Nokias Naviga- 
tionslösung, hilft auch Fußgän- 
gern beim Zurechtfinden. Die 
Firma propagierte ihre service- 
orientierte Philosophie, in der 
Ort und Zusammenhang eine 
wichtige Rolle spielen und sich 
Geräte der jeweiligen Situation 
anpassen. 


Push-Mail für 
Heimanwender 


Yahoo stellte mit One-Con- 
nect in Barcelona einen neuen 
Service für Mobiltelefone vor, 
der Inhalte verschiedener so- 
zialer Netze und Messaging- 
Anbieter aggregiert und mit 
dem lokalen Adressbuch ver- 
knüpft. LogMeln präsentierte 
eine Remote-Support-Lösung 
für Geräte mit Symbian S60, 
und RIM zeigte mit Unite- 
Server eine kostenlose Push- 
Mail-Variante für Blackberry- 
Geräte. Sie wendet sich an 
Privatkunden, die sie auf ih- 
rem Heimrechner installieren 
können. Mit Vodafone zusam- 


men plant RIM die Entwick- 
lung von Blackberry-Diensten 
für Privatkunden. Neuigkeiten 
gab es auch bei Bezahlverfah- 
ren. So kündigte TIM eine Lö- 
sung für mobiles Bezahlen in 
Italien an, und Vodafone star- 
tete einen Überweisungsdienst 
in Afghanistan. 


Neue, wenige 
Funkstandards 


Bei den Funkverfahren standen 
vor allem die 3,5G- und 4G- 
Standards HSPA (High Speed 
Packet Access), LTE (Long 
Term Evolution) und Wimax 
(Worldwide Interoperability 
for Microwave Access) im 
Mittelpunkt. LTE, das künftig 
zwischen 50 und 200 Mbps 
übertragen soll, war bei fast 
allen Netzausrüstern ein The- 
ma. China Mobile hat sich 
Vodafone und Verizon an- 
geschlossen, um gemeinsam 
Versuchsnetze dafür aufzu- 
bauen. Da den Netzbetreibern 
die Vielzahl von Standards 
allmählich zu unübersichtlich 
wird, forderten Vodafone und 
T-Mobile die Zusammenfüh- 
rung von LTE und Wimax. 
Um in großen Gebäuden die 
UMTS-Versorgung zu verbes- 
sern, propagieren die Ausrüster 
schon seit Jahren Pico- und 
Femtozellen, doch spielten bis- 
lang die Netzbetreiber nicht 
mit. Mittlerweile haben immer- 
hin O2 und Vodafone Versu- 
che damit angekündigt. 

Nicht nur schneller sondern 
auch preiswerter soll die mobile 
Datenübertragung werden. So 
kündigten O2 und Vodafone 
kurz nach der Veranstaltung an, 
die Verbindungspreise im In- 
(Vodafone) beziehungsweise 
Ausland (O2) zu senken. So 
kosten Vodafones Websessions 
ab 1. April in Deutschland nur 
noch 6,68 € pro Stunde. O2 
bietet ein 100 MByte großes 
Datenpaket für 42 € an. Der 
Tarif gilt für alle Partnernetze 
des Unternehmens. 

Auf den Erfolg des iPhone 
reagieren viele Hersteller mit 
verbesserten Bedienkonzep- 
ten. Vom Touchscreen über 
den optischen Joystick oder 
ein Zweitdisplay unterhalb des 
Hauptdisplays bis zur QWER- 
TY-Tastatur war auf dem Mo- 
bile World Congress alles zu 
sehen. Doch viele Hersteller 
haben noch nicht verstanden, 
dass es um eine einfache und 


intuitive Bedienung geht. Statt 
eine ausgereifte Eingabeme- 
thode zu integrieren, rüsten 
sie oft das Gerät mit mehreren 
Alternativen aus, von denen 
keine wirklich optimal funktio- 
niert. Immerhin hat Nokia den 
ersten Prototyp eines Symbi- 
an-S60-Geräts mit Touchscreen 
vorgestellt. Dies zeigt, dass es 
nach Alternativen zur anti- 
quierten Zifferntastatur sucht. 


Android nur 
auf dem Board 


Obwohl Google nicht mit ei- 
nem eigenen Stand auf dem 
Mobile World Congress ver- 
treten war und auch noch kein 
marktreifes Android-Handy 
vorgestellt hat, konnte man bei 
verschiedenen Herstellern wie 
Freescale, Marvell, NEC Elec- 
tronics, Qualcomm und Texas 
Instruments Prototypen von 
Android-Implementierungen auf 
ARM-Prozessoren sehen. Wäh- 
rend einige bereits wie echte 
Handys aussahen, lief bei ande- 
ren das Android-System noch 
auf einem Entwicklungsboard. 

Sony-Ericsson erregte vor 
allem mit der Ankündigung 
seines Windows-Mobile-Smart- 
phone Xperia X1 Aufsehen. Es 
ist mit Touchscreen und aus- 
ziehbarer QWERTVY-Tastatur 
sowie mit HSPA und aGPS 
ausgestattet. Dies überraschte 
umso mehr, als Sony-Ericsson 
bei Smartphones bisher immer 
auf Symbian gesetzt hatte. Die 
Firma kündigte neben anderen 
Neuvorstellungen an, bis zum 
Jahr 2011 die Nummer drei 
auf dem Mobilfunkt-Markt sein 
zu wollen. 

Weitere Neuigkeiten gab es 
von Microsoft, das den Geräte- 
hersteller Danger gekauft hat 
und damit in den Consumer- 
Gerätebereich einsteigen will. 
Asus, hierzulande für seine 
Notebooks bekannt, wird seine 
Smartphones in Zukunft in Eu- 
ropa anbieten und stellte eine 
Reihe von Windows-Mobile- 
Geräten vor. Einem anderen 
Trend folgt der indische Her- 
steller Spice, der ein Handy für 
20 US-Dollar ohne Display 
vorstellte und zahlungsschwa- 
che Kunden dafür interessieren 
will. Modu hingegen bietet ein 
Mini-Handy an, das sich als 
Modul in verschiedene Hüllen 
stecken lässt, die dann weitere 
Funktionen oder ein größeres 
Display bereitstellen. (ck) 


iX 4/2008 


© Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. 


MARKT + TRENDS 


DFN-Cert 


Sicherheit im Deutschen Forschungsnetz 


Gut behütet 


Dirk Wetter 


Zum bereits 15. Mal richtete das DFN-Cert seinen 
Workshop „Sicherheit in vernetzten Systemen” aus 
und machte erneut klar, dass Sicherheit mindestens 
so viel mit Einstellung wie mit Technik zu tun hat. 


R:“ 300 Zuhörer kamen 
zur Jubiläumsveranstaltung 
in die Hansemetropole Ham- 
burg. Ersatz-Keynote-Spre- 
cher Frank Rieger vom CCC 
widmete sich den Risiken 
elektronischer Wahlverfahren. 
Zentrales Thema waren die 
mittlerweile aus ihrem Hei- 
matland Holland verbannten 
NEDAP-Computer, die hier- 
zulande im Einsatz sind. 

Die verwendete „Old- 
School-Technik“ erlaubt bei 
physischem Zugang den 68k- 
basierten Wahlcomputer zu ha- 
cken, zum Beispiel dank der 
beiden gesockelten und damit 
leicht austauschbaren EE- 
PROMs, was der CCC anhand 
von Videos demonstrierte, die 
auf Youtube zu sehen sind. 
Als Steuerungssoftware kommt 
Windows zum Einsatz, gesich- 
tet hatten Wahlbeobachter so- 
gar private Laptops mit XP 
und lediglich SPl. Der NE- 
DAP-Computer bietet einen 
hart verdrahteten Wartungs- 
modus, der bei den niederlän- 
dischen Geräten durch das 
Passwort GEHEIM aktiviert 
wird, in der deutschen Ver- 
sion LOESJE, ein holländi- 
scher Frauenvorname. 

Trotz allem hielten die PTB 
und das BMI an NEDAFP fest. 
An Wahlmanipulationen ha- 
ben eher Innentäter — nämlich 
Politiker — als Außentäter ein 
Interesse. Daher sei es ver- 
wunderlich, dass ein Parteimit- 
glied in seiner Privatwohnung 
über Nacht Wahlcomputer la- 
gerte sowie der CCC auf unbe- 
wachte, in Schulen früh mor- 
gens vor der Wahl abgestellte 
NEDAP-Maschinen traf. In ei- 
nem Fall, so Rieger, kam mor- 
gens vor der Wahl ein Trans- 
porter vorgefahren, der Fahrer 
stieg aus und übergab den ver- 
dutzten Wahlbeobachtern vom 
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CCC die NEDAP-Computer 
mit dem Kommentar „Ach, 
Sie sind die Wahlhelfer“, stieg 
in seinen Transporter und 
brauste wieder davon. 

Der Keynote-Sprecher vom 
CCC beklagte, dass viele 
Wahlhelfer und Wahlleiter 
wohl nicht über das Grund- 
recht der Wahlbeobachtung 
Bescheid wissen. Nicht selten 
habe die Anwesenheit der 
CCCler zu Konflikten geführt, 
die manchmal 
erst der ange- 
rufene Landes- 
wahlleiter klä- 
ren konnte. In 
einem Fall hatte das Ord- 
nungsamt gar mit einer Fest- 
nahme gedroht. 


Wer suchet, der findet 


Andreas Schuster (Deutsche 
Telekom AG) berichtete über 
File-Carving-Techniken. Sol- 
che Standardmethoden zum 
Wiederherstellen von Dateien, 
deren Metadaten (etwa Ver- 
zeichniseinträge) verloren ge- 
gangen sind, orientieren sich in 


DFN... 
BEAT 


der Regel an „Magic Bytes“ 
am Dateianfang und bestenfalls 
am Ende. Das führt stets zu 
Schwierigkeiten mit Einschlüs- 
sen aus fremden Dateien und 
Dateifragmentierungen. Je nach 
Carver fallen dabei Daten- 
mengen von mehr als dem 20- 
Fachen des ursprünglichen 
Datenvolumens an. Neuere 
Methoden gehen in-line vor — 
in-place und zero space wer- 
den synonym verwendet. 

Statt die Daten zwischen 
Anfang und dem angeblichen 
Ende zu kopieren, notieren In- 
Place-Carver nur diese Positio- 
nen und markieren den Bereich 
als Teil der entsprechenden 
Datei. Das unter Linux verwen- 
dete CarvFS (FUSE) macht die 
Dateien mittels eines weiteren 
Werkzeugs (scalpelcp) trans- 
parent auf der Arbeitskopie 
verfügbar. 

Alexander Geschonneck (Hi- 
Solutions AG) berichtete über 
forensikrelevante Neuigkeiten 
in Windows Vista, angefangen 
von neuen Systempfaden und 
der virtuellen Registry im Be- 
nutzerverzeich- 
nis über die wie 
unter Windows 
2003 fehlende 
einfache Mög- 
lichkeit, \\\Physical Memory 
zu sichern bis zum geänderten 
Papierkorb-Format (keine IN- 
FO2-Datei, sondern mit $R 
und $/ beginnende Dateien). 

Als wichtigste Änderung in 
Vista hat der Registry-Schlüs- 
sel NtfsDisableLastAccessUp- 
date von Werk aus nun den 
Wert 1, das heißt, man kann 
den Zugriffszeitstempel nicht 
mehr zur Timeline-Analyse 
heranziehen. Microsoft ent- 
schädige den Forensiker bei je- 


Klaus-Peter Kossakowski vom DFN-Cert befindet sich offensichtlich 
auf der richtigen Seite, sonst wäre sein Hut schwarz. 


der Vista-Version, so Ge- 
schonneck, durch ein im Datei- 
system vorhandenes Backup, 
die „Volume Shadow Copy“, 
in der man unter Umständen 
gelöschte Dateien oder alte 
Dateiversionen wiederfindet. 
Allerdings, so steht’s zumin- 
dest auf den Microsoft-Seiten, 
nur in der Business- und Ulti- 
mate-Version. 

Außerdem hat Vista den 
Schritt weg vom binären Event- 
Log-Format zu dem etwas 
klar(er) lesbaren XML vollzo- 
gen: Die Logdatei befindet sich 
unter system32\winevi\Logs, 
wofür Andreas Schuster einen 
unter GPL stehenden Parser in 
Perl anbietet. 


Der Feind 
auf meiner Festplatte 


Exakt 14 Tage vor dem Bundes- 
verfassungsgerichtsurteil wid- 
meten sich die Vorträge von 
Christoph Wegener und Dirk 
Fox dem Thema Onlinedurch- 
suchungen. Beide äußerten sich 
kritisch wegen offener juristi- 
scher Fragestellungen sowie 
technischer Aspekte der soge- 
nannten „Remote Forensic 
Software“ (RFS). Juristisch sei 
ungeklärt, inwieweit die mit ih- 
rer Hilfe generierten Daten 
wegen der nicht eindeutigen 
Zuordnung zwischen Person 
und Computer vor Gericht ver- 
wendbar seien. Auch arbeitet 
die RFS mit den Originaldaten, 
was in der Computerforensik 
zu nicht gerichtsfähigen Be- 
weisen führt. 

Technisch sei die zuverlässi- 
ge Einbringung in ein System 
äußerst schwierig, da Betriebs- 
system, Patchstand, verwendete 
Antiviren- und Firewall-Soft- 
ware, Privilegien des Benut- 
zers, Netztopologie (NAT) und 
vieles mehr bekannt sein müss- 
ten. Ein Upload gewonnener 
Daten über eine DSL-Verbin- 
dung sei genauso auffällig wie 
ein File Carver, der 100 Giga- 
bytes an Daten analysiert. 

Wegener kritisierte zudem 
die Ziele und das technische 
Verständnis einiger Politiker im 
Ausschuss, die sich offenbar zu 
der Aussage verstiegen hatten, 
man könne damit ja auch 
Spammer erwischen. Bleibt zu 
hoffen, dass diese Politiker 
spätestens nach dem Urteil der 
obersten Verfassungsrichter 
mehr auf die Sachverständi- 
gen hören. (un) 
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MARKT + TRENDS 


Standardsoftware 


Salesforce mit neuen Modulen 


Ihrer CRM-Mietsoftware spen- 
dierte Salesforce in der Ver- 
sion Spring 08 zwei neue 
Komponenten. Mit der ersten 
namens Content verwaltet der 
Benutzer unstrukturierte Daten 
mithilfe von Web-2.0-Techni- 
ken wie Tagging, Subskriptio- 
nen und Empfehlungen direkt 
in der Applikation. Die zweite, 


Ideas, soll den Gedankenaus- 
tausch in Gruppen unterstüt- 
zen und bietet Funktionen wie 
„My Ideas Inbox“, „Recently 
Discussed“ und „Top Ideas“. 
Mit der bereits 25. Release 
bietet Salesforce die Entwick- 
lungsplattform Force.com zu- 
gleich als Dienst über das 
Internet an. 


MID baut Innovator aus 


Das Nürnberger Softwarehaus 
MID hat auf der OOP in Mün- 
chen die Version 2008 seiner 
Modellierungsplattform Inno- 
vator vorgestellt. Oberflächen 
und Zugriffsrechte lassen sich 
jetzt rollenspezifisch entstellen, 
und mit einem Traceability Wi- 
zard kann der Benutzer Modell- 
elemente miteinander verbinden 
und pflegen. Der Zusammen- 
hang zwischen Entwurfsanfor- 
derungen (Requirements) und 
Modellelementen soll sich dem 
Anwender so besser erschlie- 
ßen. MID plant den Austausch 
von Anforderungen mit ein- 
schlägigen Requirements-Werk- 
zeugen über eine RIF-Schnitt- 
stelle (Requirement Information 


Einkaufsgelüste: Der 
niederländische ERP-Anbie- 
ter Unit 4 Agresso will Coda 
Plc übernehmen, einen Her- 
steller von Programmen für 
Rechnungswesen und Con- 
trolling. Man konnte sich 
bereits die Zusage für rund 
90 % der Aktien sichern. 
Nach der Fusion käme das 
neue Unternehmen auf einen 
Gesamtumsatz von über 300 
Mio. Euro. 


Modelltour: Intrum Justitia, 
Dienstleistungsanbieter für 
Inkasso und Forderungsma- 
nagement, hat seine Legacy- 
Anwendung Recash Rich- 
tung SOA transformiert. 
Hierzu dokumentierte man 
mithilfe der Aris Bridge Inte- 
gration die Applikationspro- 
zesse und überführte den 
PL/SQL-Code in rund 1000 
ausführbare UML-Modelle. 
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Interchange). Diese beruht auf 
der Vorarbeit der Herstellerini- 
tiative Software (HIS), einer 
Gründung der deutschen Auto- 
mobilbranche. 

Mit dem Kompositions- 
strukturdiagramm, das bei- 
spielsweise externe Schnittstel- 
len beschreibt, erhöht sich der 
Abdeckungsgrad für UML 2.1. 
Via XMI-Export (XML Meta- 
data Interchange) für UML kann 
Innovator mit ergänzenden Ent- 
wicklungswerkzeugen Daten 
austauschen. Ebenfalls neu ist 
der Einsatz von UML-Profilen 
für die Datenmodellierung. Die 
Modellierung nach SysML- 
Standard für eingebettete Sys- 
teme ist in Vorbereitung. 


Ausbau: PSIpenta erweitert 
seine gleichnamige ERP-Suite 
mit einer Anwendung für das 
Rechnungswesen. Das neue 
Modul PSIpenta finance 
nutzt als Basis die eGecko- 
Plattform der Fuldaer CSS 
GmbH. Die Partnerschaft mit 
der Varial AG, die ebenfalls 
eine Rechnungswesensoft- 
ware im Angebot hat, bleibt 
davon unberührt. 


SCM mit SOA: SAP hat 
Einzelheiten zur jüngsten 
Version ihres Lieferketten- 
managements (Supply Chain 
Management) veröffentlicht. 
Die kommende Release setzt 
auf das SOA-Konzept; er- 
weiterte Funktionen liefert 
SAP als Services aus. So soll 
es beispielsweise möglich 
sein, einzelne SCM-Kompo- 
nenten wie Lieferantenanbin- 
dung oder Lagerverwaltung 
zu nutzen, ohne die gesamte 
Suite zu installieren. Mitte des 
Jahres will man das Produkt 
anbieten. 


Quelloffene Datenintegration 


Talend, ein Softwarehaus aus 
Frankreich, veröffentlichte die 
Version 2.3 der quelloffenen 
Datenintegrationssoftware Ta- 
lend Open Studio. Sie bietet 
ETL-Funktionen (Extract, Trans- 
form, Load) für Data Warehou- 
ses, eignet sich jedoch vor al- 
lem für die Datenmigration und 
-konsolidierung. Open Studio 
kann Java, Perl und SQL gene- 
rieren und benötigt daher keine 
Ablaufumgebung, sondern le- 
diglich eine Java Virtual Ma- 
chine oder einen Interpreter. 
Das Produkt enthält 120 ver- 
schiedene Konnektoren und 
lässt sich mit Datenbanken, 


Standardanwendungen wie Mi- 
crosoft Dynamics, Sage oder 
Mondrian sowie mit POP3-Ser- 
vern und anderen Zielsystemen 
verknüpfen. Open Studio soll 
nicht nur als Konsument von 
Webservices fungieren sondern 
auch Datenintegrationsprozes- 
se als Webservice veröffentli- 
chen können. Neben der Open- 
Source-Variante bieten die 
Franzosen eine kommerzielle 
Ausprägung auf Subskriptions- 
basis an. Die Integrationssuite 
verfügt zusätzlich über ein Re- 
pository sowie einen Mecha- 
nismus zur Steuerung der Inte- 
grationsjobs. Susanne Franke 


Business Objects XI beherrscht Textanalyse 


Der kürzlich von SAP gekaufte 
Business-Intelligence-Anbieter 
Business Objects hat eine neue 
Version seiner Auswertungs- 
plattform vorgestellt. Angeblich 
verfügt Business Objects XI 3.0 
als bisher einziges BI-Tool über 
Funktionen für die Textanaly- 
se. Darüber soll der Anwender 


die Möglichkeit erhalten, In- 
formationen aus unstrukturier- 
ten Quellen wie Internet oder 
E-Mail in die Analyse der Ge- 
schäftslage einzubinden. Re- 
ports oder Benchmarks von Fi- 
nanzinformationsanbietern kann 
er ebenfalls in seine Auswer- 
tungen integrieren. 


Diamant/3 unter Windows 


Diamant Software erweitert die 
Rechnungssoftware Diamant/3 
um eine Windows-Variante. 
Bislang lief die .Net-Software 
lediglich in einem Browser. 
Unter der Windows-Oberflä- 
che erreicht der Anwender 
sämtliche Funktionen und Fel- 
der auch über Tastenkombina- 
tionen. Neu sind Module für 
die dezentrale Planung sowie 


die Geschäftsberichterstattung. 
In die dezentrale Planung las- 
sen sich beispielsweise Excel- 
Formulare einbinden. Die Con- 
trolling-Anwendung kann Daten 
und Funktionen via Webser- 
vices für Excel bereitstellen. Mit 
Hilfe von Plug- ins ist der Be- 
nutzer in der Lage, Menübäume 
aus Diamant in die Formulare 
einzuhängen. 


Java-Anwendungen als Virtual Appliance 


Bea hat sein Virtualisierungs- 
angebot für Java-Applikatio- 
nen ausgeweitet. Letztere sind 
nun in der Lage, als eigenstän- 
dige Appliances auf einer Hy- 
pervisor-basierten Virtualisie- 
rungsplattform von VMware 
zu laufen. Virtualization 2.0 
umfasst die Middleware Web- 
logic Server Virtual Edition 
(WLS VE) und die Manage- 
mentkonsole Weblogic Opera- 
tions Control (WLOC). WLS 
VE enthält eine Ablaufplatt- 
form in Form der LiquidVM, 
die wiederum aus der JRockit- 
JVM sowie einer dünnen Be- 


triebssystemschicht besteht, zu- 
sätzlich einem Weblogic Ser- 
ver und vorgefertigten De- 
ployments. 

Via WLOC lassen sich Ser- 
vice Level Agreements (SLAs) 
überwachen und Anwendungs- 
ressourcen dynamisch zuord- 
nen. Agenten verwalten sowohl 
die virtualisierten als auch die 
nicht virtualisierten System- 
komponenten. Die Agenten be- 
schränken sich nicht auf WLS 
VE und können auch mit vir- 
tualisierten Java-Appliances 
umgehen, die nicht von Bea 
stammen. Susanne Franke 
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MARKT + TRENDS 


Hardware/Grüne IT 


Bitkom-Jahreskonferenz 


Klimaschutz und Ressourceneffizienz 


Low hanging 


fruits 


Barbara Lange 


„Klimaschutz und Ressourceneffizienz” lautete 

der Titel der Jahreskonferenz, die Bitkom gemeinsam 
mit dem Bundesumweltministerium und dem Umwelt 
bundesamt Mitte Februar in Berlin durchführte. Ziel 
war es, IT-Dienstleister und RZ-Betreiber für den 
wachsenden Energieverbrauch zu sensibilisieren. 


er neue Flaschenhals ist das 

Fehlen bezahlbarer Roh- 
stoffe“, so Bundesumweltmi- 
nister Sigmar Gabriel in seiner 
Eröffnungsrede vor 230 Teil- 
nehmern. Wachsende Indus- 
triegesellschaften verbrauchen 
gigantische Energiemengen — 
was die Preise explodieren lässt. 
Dass die ITK-Branche eine ent- 
scheidende Rolle beim Schutz 
des Klimas bei gleichzeitigem 
Wirtschaftswachstum spielt, 
darin waren sich alle Redner 
einig. Auf der Vortragsliste 
standen Martin Jetter für den 
Bitkom und IBM Deutschland, 
Karl-Heinz Florenz für das 
Europäische Parlament, Molly 
Webb von der Climate Group 
(theclimategroup.org) und Den- 
nis Pamlin vom WWF. 

Die ITK ist zwar selbst ein 
großer Stromschlucker, kann 
aber dank kurzer Innovations- 
zyklen energieeffizientere Ma- 
terialien, Produkte und Ver- 
fahren in „zeitlich spürbaren 
Zyklen“ entwickeln. 

Was man mit den derzeit 
verfügbaren Mitteln erreichen 
kann, diskutierten die Teilneh- 
mer in vier parallelen Foren. 
Insgesamt ließen sich damit 
nach Angaben des Umweltbun- 
desamtes bereits jetzt 6 Mio.t 
CO; einsparen. Allein die Um- 
stellung eines Drittels der PCs 
in Deutschland auf Thin Clients 
würde pro Jahr 1 Mio.t CO, 
und rund 100000 t Material wie 
Metalle und Kunststoffe sparen. 

Tenor im Forum „Energie- 
effiziente Rechenzentren“: 
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Nach wie vor bestimmt die 
permanente Verfügbarkeit Pla- 
nung und Betrieb eines RZs. 
Da die Energiekonzerne aber 
wenig Spielraum lassen, sind 
neue Ideen gefragt — eingefah- 
rene Konzepte funktionieren 
nicht mehr. So können Unter- 
nehmen durch einen konse- 
quenten Einsatz von bereits 
verfügbaren Komponenten und 
Verfahren bis zu 50 % Strom 
sparen. 


Energie ist Chefsache 


Dazu gehören Virtualisierung, 
eine Konsolidierung des Ser- 
verparks, das Nutzen der RZ- 
Abwärme für die Heizung und 
der Außenluft für die Kühlung 
sowie Windkanäle, kalte und 
warme Gänge - alles „low 
hanging fruits“, die es nur zu 
pflücken gilt. Belegen konnte 
dies auch Dr. Klaus Fichter 
mit seiner Studie „Zukunfts- 
markt energieeffiziente Re- 
chenzentren“ von 2007. 

Ganz oben auf der Strom- 
sparliste steht jedoch eine hö- 
here Raumtemperatur in Re- 
chenzentren. Davon berichtete 
Harald Rossol, Geschäftsfüh- 
rer der b.r.m. Technologie 
und Managementberatung in 
seinem Vortrag. 35 °C beträgt 
die Temperatur in seinem RZ 
— jedes Grad spart drei bis 
fünf Prozent Energie, so sein 
Richtwert. Für die Cebit kün- 
digte Bitkom einen „Leitfaden 
für effiziente Rechenzentren“ 
an. (sun) 


Festplaitenreigen: Die Kleinen kommen 


Noch können 3,5 Zoll große 
Festplatten bei der Kapazität 
punkten. Doch die kleineren 
Modelle holen auf. Nach Hita- 
chi hat Fujitsu als zweiter An- 
bieter ein 2,5-Zoll-Modell mit 
500 GByte Kapazität angekün- 
digt. Allerdings passen beide 
nicht in alle Notebooks: Die ho- 
he Kapazität erreichen die Her- 
steller nur mit einem 12,5 mm 
hohen Gehäuse und drei Mag- 
netplatten. Die rotieren in Fu- 
jitsus ab Mai lieferbarer MHZ2 
BT nur mit 4200 U/min, was 
die Leistungsaufnahme im 
Leerlauf auf 0,5 W reduziert. 
Beim Lesen und Schreiben 
saugt die Platte 1,8 W aus dem 
Notebook-Akku. 

Toshiba ging bei der 1,8"- 
Familie MKxx16GSG den um- 
gekehrten Weg und erhöhte die 
Drehzahl auf 5400 U/min. Die 
Modelle bringen 120 (MK1216 
GSG) beziehungsweise 80 
GByte (MK8016GSG) auf je- 
weils zwei Scheiben unter und 
sollen bis zu 61 MByte/s über- 
tragen. Beide sind mit einem 
1,5 GBit/s schnellen Micro- 
SATA-Interface ausgerüstet 
und entsprechen Version 2.6 
der SATA-Spezifikation. Im 
Leerlauf kommen die Platten 
mit 0,55 W aus, im Ruhezu- 
stand mit 0,1 bis 0,45 W. Wäh- 
rend des Datenzugriffs steigt 
die Leistungsaufnahme auf 


Mischbar: Bereits vor der 
Cebit kündigte Sun Storage- 
tek seine neue Midrange- 
Bandbibliothek SL3000 Mo- 
dular Storage Library an. Sie 
bietet bis zu 3000 Slots und 
lässt sich mit bis zu 56 Lauf- 
werken ausstatten. Dabei las- 
sen sich Suns eigene Band- 
laufwerke T9840 und T10000 
sowie LTO-3- und LTO-4- 
Streamer von HP und IBM 
beliebig miteinander mischen. 
Als Anschlussvarianten ste- 
hen Fibre Channel, Escon 
und Ficon zur Verfügung. 


Überarbeitet: HPs erstes 
Enterprise Virtual Array der 
6. Generation heißt EVA 
4400. Neue Festplatten- 
Chassis fassen auf 2 U zwölf 
FC- oder FATA-Platten mit 


1,4 W, beim Hochfahren auf 
25W. 

Von der Kapazität her eben- 
bürtig sind die Solid State 
Disks, die das südkoreanische 
Unternehmen Mtron (www. 
mtron.net) ab April produzieren 
will: Die 1,8 Zoll großen Flash- 
SSDs bringen 128 GByte unter. 
Beim Lesen sollen sie ihre me- 
chanischen Kollegen mit 110 
MByte/s locker abhängen, das 
Schreibtempo liegt mit 40 
MByte/s jedoch deutlich nie- 
driger. Eine geplante Variante 
mit SLC-Flash (Single-Level 
Cell) soll 120 beziehungsweise 
100 MByte/s erreichen. Preise 
und Liefertermine stehen noch 
nicht fest. 

Die Performance-Krone ge- 
bührt jedoch einer 3,5"-Fest- 
platte: Seagates Cheetah 15K.6. 
Die Modelle speichern 147, 
300 oder 450 GByte auf zwei 
mit 15 000 U/min rotierenden 
Scheiben. Damit sollen sie ein 
Lese- und Schreibtempo von 
164 MByte/s erreichen — bei 
niedrigerem Energiebedarf als 
die Vorgängermodelle. Die 
Server-Festplatten mit einer 
MTBF von 1,6 Mio. Stunden 
beziehungsweise einer An- 
nual Failure Rate (AFR) von 
055 % sind mit 3 GBit/s- 
SAS-Anschlüssen oder 4 GBit/s 
schnellem Fibre Channel er- 
hältlich. 


146 GByte bis 1 TByte Ka- 
pazität. Insgesamt kann das 
System mit zwei Controllern 
bis zu 96 Festplatten verwal- 
ten, also maximal 96 TByte 
brutto. Anbindung an die 
maximal 512 (singlepath) 
oder 256 (dualpath) Server 
findet das Storage-System 
über 2 x 2 FC-Ports und an 
Tape Libraries über vier 
weitere. 


Vorgeprescht: Während die 
Hersteller von Grafikkarten 
an ihren Serienmodellen 
mit Display-Port arbeiten, 
beginnt Dell den DVI-Nach- 
folger-Reigen mit einem 
Breitbild-Display. Der 
30"-Monitor Ultrasharp 
3008WFP besitzt außerdem 
VGA, DVI-D-, S-Video-, 
Composite- und Compo- 
nent-Anschlüsse und 
erlaubt eine Auflösung von 
2560 x 1600 Punkten. 
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MARKT + TRENDS 


Recht 


Prüfungspflichten für Weblog-Betreiber 


Das Landgericht Hamburg (Az. 
324 O 794/07) hat in der heiß 
umstrittenen Frage, welche Prü- 
fungspflichten ein Weblog-Be- 
treiber für die Inhalte der Nutzer 
des Weblog hat, einen neuen 
Begriff geprägt. Die Betreiber 
trifft ein sogenannter „gleitender 
Sorgfaltsmaßstab“ für die In- 
haltskontrolle. In Bezug auf 
rechtswidrige Äußerungen Drit- 
ter im Weblog kann das bedeu- 
ten, dass, wenn Persönlichkeits- 
verletzungen mit Sicherheit 
vorauszusehen sind, eine Pflicht 
zur Vorabkontrolle fremder 
Meinungsbeiträge besteht. Ein 
Weblog-Betreiber stellt Dritten 
Speicherplatz auf Internetsei- 
ten zur Verfügung und ist da- 
mit nach den Vorschriften des 


Telemediengesetzes für sämtli- 
che Inhalte auf diesen Seiten 
verantwortlich. Daher kann 
man von ihm die Entfernung 
einer rechtsverletzenden Äuße- 
rung verlangen, wenn er seine 
Prüfpflichten verletzt hat. 
Wann eine Prüfpflicht vor- 
liegt, ist „anlassbezogen“ zu 
beurteilen. Im konkreten Fall 
bestand der Anlass darin, dass 
es zu einer schwerwiegenden 
Persönlichkeitsverletzung ge- 
kommen war, die nach Ansicht 
der Richter absehbar gewesen 
sei. Weil der Betreiber dieser 
Pflicht nicht nachgekommen 
war, erging eine einstweilige 
Verfügung gegen ihn. Außer- 
dem hat er die Verfahrenskos- 
ten zu tragen. Tobias Haar 


FREE FENGES 
ve Der Dotnet-Doktor 
Microsoft Marddch nufyon 


N 


Ei schwerer Mangel in der IT-Sicherheit am Flusghafen Düsseldorf 
Wen 
Untertagen zu den Vorträgen auf dem Microacft Launch 
har Mehr. 
Microastte "Launcn Event“ stattet mt 7800 Besuchern 
: Kae SI08” begannen Mar ; 


Windaws Server 2008 und Windows Vlata 8? 1 sind erschienen 


Ist eine 

v rechtswidrige 
E Außerung 

sie Dritter vorher- 
sehbar, trifft 
den Weblog- 
Betreiber die 
Pflicht zur 
Vorabkon- 
trolle. 


Arahtv 


Programmlöschung berechtigt zur Kündigung 


Das Sächsische Landesarbeits- 
gericht (Az. 2 Sa 808/05) hat 
die fristlose Kündigung eines 
Arbeitnehmers bestätigt. Dieser 
hatte auf seinem Firmen-Laptop 
ein Programm gelöscht, wo- 
durch der Arbeitgeber das 
Notebook und die Daten darauf 
nicht mehr nutzen konnte. Der 


Verpflichtung zur Herausgabe 
des Laptops kann der gekündig- 
te Arbeitnehmer auch dadurch 
nicht entgehen, dass er ein neu- 
es Programm auf dem Laptop 
installiert hat und dieses urhe- 
berrechtlich gar nicht durch 
den Arbeitgeber genutzt wer- 
den darf. Tobias Haar 


Die Bundesnetzagentur hat er- 
neut einem Unternehmen eine 
0900-Rufnummer entzogen, 
weil damit Rufnummern-Spam 
für illegale Glücksspiele betrie- 
ben wurde. „Missbrauch von 
Rufnummern und Tricks dürfen 
nicht Basis für Geschäftsmo- 
delle sein“, sagte Matthias 
Kurtz, Präsident der Bundes- 
netzagentur, zu dieser Anord- 


nung. Dem betroffenen Unter- 
nehmen wurde ferner unter- 
sagt, illegale Telefonwerbung 
durchzuführen, sowie Rech- 
nungen zu stellen und Forde- 
rungen einzutreiben. Das ange- 
wandte Geschäftsmodell wurde 
verboten. Sollte gegen diese 
Verfügungen verstoßen werden, 
drohen hohe Zwangsgelder. 
Tobias Haar 


Internethändler müssen korrekt verpacken 


Seit Kurzem gilt eine Neufas- 
sung der Verpackungsverord- 
nung, die die Pflichten von 
Verkäufern im Hinblick auf 
Verpackungen der verkauften 
Waren regelt. Die Neufassung 
erschwert den Internetversand- 
handel deutlich: So müssen nun 
sämtliche Verpackungen, die zu 
privaten Endverbrauchern ge- 
langen, bei dualen Systemen li- 
zenziert sein. Das gilt aber nicht 
nur für die Produktverpackun- 


gen, sondern auch für Packpa- 
pier, Füllmaterial und Versand- 
kartons. Insgesamt soll damit 
die sogenannte „haushaltsnahe 
Entsorgung“ über die grünen 
Tonnen oder gelben Säcke auch 
für diese Verpackungen ge- 
währleistet werden. Wer sich an 
diese Spielregeln nicht hält, 
kann abgemahnt werden. Darü- 
ber hinaus drohen Bußgelder für 
diese Ordnungswidrigkeit von 
bis zu 50000 €. Tobias Haar 


Unternehmen haften für Bannerwerbung 


Das Landgericht Frankfurt am 
Main (Az. 3-08 O 143/07) ver- 
urteilte einen Unternehmer, weil 
er Bannerwerbung auf Websei- 
ten schalten ließ, auf der jugend- 
gefährdende Medien und der 
Download von Raubkopien an- 
geboten wurden. Das Angebot 
dieser Webseiten war eindeutig 
als wettbewerbswidrig einzustu- 
fen. Dadurch, dass der Unter- 
nehmer, der nicht auch gleich- 
zeitig der Betreiber dieser 
Webseiten war, auf diesen seine 
Bannerwerbung schalten ließ, 
nutzte er den Wettbewerbsver- 


stoß des Betreibers der Websei- 
ten für eigene Zwecke aus. Er 
profitierte davon, dass viele 
Nutzer sich auf den rechtswidri- 
gen Webseiten umschauten und 
dabei seine Werbung zur Kennt- 
nis nahmen. Ihm Konnte auch 
die Verletzung von Prüfungs- 
pflichten nachgewiesen werden, 
da er vor dem gerichtlichen 
Verfahren auf die Wettbewerbs- 
verletzung hingewiesen und ab- 
gemahnt wurde. Trotz dieser 
Abmahnung ließ er weiterhin 
seine Werbung auf den Websei- 
ten schalten. Tobias Haar 


Bundesverfassungsgericht entwickelt Computer-Grundrecht 


Im heiß diskutierten Streit um 
die Einführung sogenannter On- 
linedurchsuchungen durch staat- 
liche Strafverfolgungsbehörden 
hat jetzt das Bundesverfassungs- 
gericht ein wegweisendes Urteil 
gefällt. Die höchsten deutschen 
Richter schufen mit diesem Ur- 
teil ein „Grundrecht auf Ver- 
traulichkeit und Integrität infor- 
mationstechnischer Systeme“. 
Damit sind alle staatlichen Orga- 
ne verpflichtet, bei ihren Hand- 
lungen, insbesondere auch bei 
Gesetzesvorhaben, dieses „Com- 
puter-Grundrecht“ zu beachten. 
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Das Vorhandensein eines solchen 
Grundrechts bedeutet aber nicht, 
dass es nicht auch eingeschränkt 
werden darf. Gerade bei der 
Einführung von Onlinedurchsu- 
chungen in den entsprechenden 
Polizeigesetzen müssen die Ver- 
antwortlichen allerdings darauf 
achten, dass solche Durchsuchun- 
gen nur dann erfolgen dürfen, 
wenn sie verhältnismäßig sind. 
Auch hier haben die Richter dem 
Gesetzgeber enge Vorgaben ge- 
macht. Onlinedurchsuchungen 
sind nur zulässig, wenn eine Ge- 
fahr für Leib oder Leben droht 


oder besteht beziehungsweise 
wenn die Existenz des Staates ge- 
fährdet ist. Außerdem muss ein 
Richter ihnen vorab zustimmen. 


Mit ihrem Urteil erklärten die 
Karlsruher Richter die Regelun- 
gen zur Onlinedurchsuchung im 
Verfassungsschutzgesetz Nord- 
rhein-Westfalen für nichtig. Dort, 
in anderen Bundesländern und 
auf Bundesebene wird es nun 
neue Gesetzesinitiativen geben, 
mit denen entsprechende Rege- 
lungen in die Verfassungsschutz- 
gesetze, das „BKA-Gesetz“ und 


die Strafprozessordnung aufge- 
nommen werden sollen. Bundes- 
innenminister Schäuble kündigte 
bereits an, in den Gesetzesvorha- 
ben auf Bundesebene die Vorga- 
ben aus Karlsruhe zu berücksich- 
tigen. Die Diskussionen um die 
geplanten gesetzlichen Maßnah- 
men werden weitergehen. Am 
Ende dürfte dann wieder ein Ur- 
teil aus Karlsruhe stehen, das 
feststellt, ob sich die Gesetzgeber 
an die Spielregeln zur verhält- 
nismäßigen Einschränkung des 
Computer-Grundrechts gehalten 
haben. Tobias Haar 
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Geräteabgabe für 
Multifunktionsgeräte 


Multifunktionsgeräte, also Ge- 
räte, die in Verbindung mit ei- 
nem Computer drucken, scan- 
nen, fotokopieren und faxen 
können, unterliegen der urhe- 
berrechtlichen Geräteabgabe. 
Das hat der Bundesgerichtshof 
entschieden (Az. I ZR 131/ 
05). Seit Anfang 2008 gilt 
hinsichtlich der Höhe der Ab- 
gabe für diese Geräte eine 
neue Vorschrift im deutschen 
Urheberrecht. 

Diese bestimmt sich nun 
danach, in welchem Maße die 
Geräte als Typen tatsächlich 
für urheberrechtliche Verviel- 
fältigungen genutzt werden. 
Als Grenze wurde vorgesehen, 
dass die Abgabe die Hersteller 
nicht unzumutbar beeinträchti- 
gen darf, und sie muss in ei- 
nem angemessenen Verhältnis 
zum Gerätepreis stehen. 

Tobias Haar 


Fernmeldegeheimnis 
für gelesene E-Mails 


Unter Juristen ist seit Langem 
umstritten, wann genau das 
Fernmeldegeheimnis, das auch 
auf elektronische Kommunika- 
tion Anwendung findet, an- 
fängt und wann es endet. Jetzt 
hat das Landgericht Hamburg 
entschieden (Az. 619 Os 1/08), 
dass es für den Schutz von 
E-Mails nicht darauf ankommt, 
ob diese noch ungelesen sind 
und sich noch immer auf dem 
Server des E-Mail-Dienstleis- 
ters befinden oder ob sie schon 
gelesen wurden und noch auf 
diesem Server gespeichert sind. 

Das Fernmeldegeheimnis 
soll ungestörte, weil unbeob- 
achtete Telekommunikation ge- 
währleisten, so die Richter. Da- 
zu ist es aber erforderlich, dass 
E-Mails auch dann diesem 
Schutz unterliegen, wenn sie 
(nach erfolgtem Lesen) insbe- 
sondere bei Webmail-Diensten 
auf dem Server des Anbieters 
gespeichert bleiben. 

Nach Meinung der Richter 
darf bereits deswegen kein 
Unterschied zwischen gelese- 
nen und ungelesenen E-Mails 
vorgenommen werden, weil für 
einen Außenstehenden meist 
auch gar nicht erkennbar ist, 
welche bereits gelesen wurden 
und welche noch nicht. 

Tobias Haar 
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Domains sind Eigentumsrechte nach der Menschenrechtskonvention 


Der Europäische Gerichtshof 
für Menschenrechte (EGMR) 
hat in einem Verfahren eines 
Deutschen gegen die Bundesre- 
publik Deutschland entschieden, 
dass es sich bei .de-Domains 
um Eigentumsrechte handelt, 
für die die Konvention zum 
Schutze der Menschenrechte 
und Grundfreiheiten gilt. Das 


bedeutet aber nicht, dass deut- 
sche Gerichte diesen Schutz 
nicht einschränken dürfen. Da- 
her unterlag der Kläger im vor- 
liegenden Fall am Ende den- 
noch. Der Kläger hatte mehrere 
Tausend Domains auf sich re- 
gistriert und war unter anderem 
wegen Namensrechtsverletzun- 
gen zur Löschung etlicher Do- 


mains verurteilt worden. Dies 
war nach Auffassung der Rich- 
ter nicht zu beanstanden, da der 
Kläger nicht darlegen konnte, 
wie er „die Domains in nicht 
rechtsverletzendem Rahmen so- 
wohl gegenüber den Rechtein- 
habern als auch den Domain- 
Bedingungen von DENIC zu 
nutzen gedenke“. Tobias Haar 
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Recht/Internet 


Urteil stärkt Zweifel an Rechtmäßigkeit der Pauschalerfassung 


Vorratsklammer 


Christoph Wegener, Dennis Werner 


Im Urteil des Bundesverfassungsgerichts zum Verfassungsschutzgesetz NRW 
finden sich Hinweise auf eine Verfassungswidrigkeit der Vorratsdatenspeicherung, 
die bereits einen Vorgeschmack auf das in diesem Zusammenhang Mitte März 
2008 zu erwartende Urteil liefern könnten. 


eit dem 1. Januar 2008 ist 

das Gesetz zur Vorrats- 
datenspeicherung (VDS) in 
Kraft. Es schlägt sich vor allem 
in den Paragrafen 113a und 113 
des Telekommunikationsgeset- 
zes (TKG) nieder und beruht 
auf der — wegen eines Kompe- 
tenzverstoßes — wohl europa- 
rechtswidrigen Richtlinie 2006/ 
24/EG. Die bisherige Rechts- 
lage kehrt sich damit vollstän- 
dig um: Laut $ 96 Abs. 2 
TKG waren Telekommunika- 
tionsanbieter zur sofortigen 
Löschung aller Verkehrsdaten 
verpflichtet, die nicht Abrech- 
nungszwecken dienten. Zukünf- 
tig sind die Verbindungsdaten 
sämtlicher Kommunikation für 
die Dauer von sechs Monaten 
zu speichern. Das erfasst unter 
anderem die Rufnummer des 


Verbandelt: Ein 12,1-Zoll- 
Subnotebook von LG mit 
HSDPA-Modem bietet T- 
Mobile in Verbindung mit 
einem Zweijahresvertrag 
zum Preis von 699 Euro 
an. Das E200 arbeitet mit 
einem Pentium Dual Core 
T2330 (1,6 GHz), 2 GByte 
RAM und einer 120 GByte 
großen Festplatte. 


Verglichen: Das Team 
des Virenschutz-Testla- 
bors um Andreas Clementi 
hat auf www.av-compa 
ratives.org die Vergleichs- 
ergebnisse vom Februar 
zur Verfügung gestellt. 
Laut Clementi hat be- 
sonders Microsofts One- 
Care darin an Erkennungs- 
rate zugelegt. 
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Anrufenden und des Angeru- 
fenen, im Falle der Mobilfunk- 
nutzung zusätzlich die Cell-ID 
der Teilnehmer-Standorte. Im 
Rahmen der Internetnutzung 
wird erfasst, wann wer mit 
welcher Zugangskennung im 
Internet aktiv war und wann 
wer seine E-Mails verschickt, 
empfangen oder abgefragt hat. 

Am 27. Februar 2008 hat 
das BVerfG nun sein Urteil 
zum VSG NRW und damit 
auch zu den viel diskutierten 
Onlinedurchsuchungen gespro- 
chen (BVerfG, 1 BvR 370/07 
v. 27.2.2008). Interessanter- 
weise finden sich in den 
Randziffern 179 und 183 des 
Urteils bereits Bezüge zur 
Vorratsdatenspeicherung. So 
nennt das BVerfG in Randzif- 
fer 179 Persönlichkeitsgefähr- 


dungen bei der Internetnut- 
zung, die nicht nur das Aus- 
werten von Kommunikations- 
inhalten, sondern auch von 
Verkehrsdaten mit sich brin- 
gen kann: „Durch die Spei- 
cherung und Auswertung sol- 
cher Daten über das Verhalten 
des Nutzers im Netz können 
weitgehende Kenntnisse über 
die Persönlichkeit des Nutzers 
gewonnen werden.“ In Rand- 
ziffer 183 wird ausgeführt, 
das auch die Umstände der 
Telekommunikation bereits 
durch Artikel 10 des Grundge- 
setzes (GG) geschützt sind: 
„Zudem sind nicht nur die In- 
halte [...] geschützt, sondern 
[...] auch ihre Umstände. Zu 
ihnen gehört insbesondere, ob, 
wann und wie oft zwischen 
welchen Personen [...] Tele- 


kommunikationsverkehr statt- 
gefunden hat [...].“ 

Fasst man diese Aussagen 
zusammen, ergeben sich Wi- 
dersprüche zu den Regelungen 
des Gesetzes zur Vorrats- 
datenspeicherung. Schließlich 
gebietet diese gerade die 
Speicherung von Daten, die 
nach jüngster Auffassung des 
BVerfG unter anderem durch 
Art. 10 GG geschützt sind. 
Komplikationen könnten sich 
für das BVerfG aus seiner „So- 
lange“-Rechtsprechung erge- 
ben. Demnach ist das BVerfG 
wegen des Vorrangs des Euro- 
parechts in seiner Prüfungs- 
kompetenz eingeschränkt, so- 
weit sich das Gesetz im 
Rahmen der Richtlinie hält. 
Kein Problem dürfte sich da- 
gegen daraus ergeben, dass im 
Fall der Vorratsdatenspeiche- 
rung die Daten durch private 
Dritte erhoben werden und 
nicht wie bei der Onlinedurch- 
suchung durch den Staat 
selbst. Hierzu hat das BVerfG 
bereits im Jahr 2006 klarge- 
stellt, dass auch das Speichern 
von Verbindungsdaten durch 
private Dritte einen Eingriff in 
das Fernmeldegeheimnis dar- 
stellt. Vor diesem Hintergrund 
darf das Urteil zur Verfas- 
sungsbeschwerde gegen die 
Vorratsdatenspeicherung mit 
großer Spannung erwartet 
werden. 


Bund plant „Netz des Vertrauens” auf IPv6-Basis 


Das Bundeswirtschafts- und 
das Bundesinnenministerium 
haben eine gemeinsame Geset- 
zesinitiative beschlossen, die 
Funktion des kommenden, 
elektronisch auslesbaren Perso- 
nalausweises zu erweitern. Für 
„vertrauensvolles Handeln im 
Internet“ soll jeder Bundesbür- 
ger ein persönliches öffentli- 
ches IPv6-Netz erhalten, des- 
sen Adressbereich eindeutig 
mit der Nummer des E-Perso- 
nalausweises gekoppelt ist. 
Dieses kostenlos und auf Le- 
benszeit zugeteilte Netz sollen 
die Bürger ab einem noch nicht 
festgelegten Stichtag verpflich- 
tend und ausnahmslos benut- 
zen. Man wartet offenbar nur 
noch eine ausreichende Durch- 
dringung der Internet-Infra- 
struktur mit dem neuen Proto- 
koll ab. 

Damit entfiele für Provider 
und Arbeitgeber das Bereithal- 
ten eigener Adressbereiche, 


und dank Mobile IP können 
die Bürger eigene Adressen 
vom Handy über das Heimnetz 
bis zum Arbeitsplatz benutzen. 
Der E-Personalausweis soll in 
einer späteren Ausbaustufe 
darüber hinaus die vertrauens- 
würdigen Schlüssel für IP- 
Secv6 enthalten und damit 
eine sichere und verbindliche 
Kommunikation zwischen Be- 
hörden, Bürgern sowie aus- 
gewählten Medienpartnern si- 
cherstellen. 

Ein auf diese Weise perso- 
nalisiertes IPv6 wird nach An- 
sicht der beteiligten Minis- 
terien die Onlinekriminalität 
weiter eindämmen. Wenn ein 
Bürger etwa über seine persön- 
liche IP-Adresse auf ein un- 
registriertes Onlinekonto zu- 
greift, kann es bereits eine 
Prüfmeldung ans zuständige 
Finanzamt geben, noch bevor 
etwa eine Überweisung erfolgt. 
Solche Kontrollmeldungen ob- 


liegen der Bundesnetzagentur, 
die zukünftig den deutschen 
Bürgeradressraum verwalten 
soll. 

Auch auf die Jugendkrimi- 
nalitätsrate sollen sich die per- 
sönlichen IP-Adressen senkend 
auswirken. So wird das anony- 
me Tauschen urheberrechtlich 
geschützter Werke dadurch 
vollständig verhindert. Wenn 
Jugendliche illegale Internet- 
dienste einsetzen, könnte die 
Bundesnetzagentur zukünftig 
ein Internetverbot aussprechen. 
Den verbindlichen Bürger- 
adressraum sehen das Wirt- 
schafts- und das Innenministe- 
rium als Meilenstein für den 
Standort Deutschland und Vor- 
bild für den gesamten europäi- 
schen Wirtschaftsraum an. Das 
persönliche IPv6-Netz soll den 
Schutz seiner Benutzer vor 
Internetkriminalität auf ein ganz 
neues Niveau heben. 

Christian Schmidt 
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Sicherheit 


Kostenloses IT-Grund- 
schutztool: Die Sernet 
GmbH hat Version 0.6 ih- 
res frei verfügbaren Open- 
Source-Grundschutz-Tools 
Verinice veröffentlicht 
(www.verinice.org). Das 
für Windows, Linux und 
Mac erhältliche Werkzeug 
ist von zertifizierten Audi- 
toren mitentwickelt und 
bietet in der aktuellen Ver- 
sion den Basis-Sicherheits- 
check nach Grundschutz, 
ergänzende Sicherheitsana- 
lysen und vieles mehr. 


Neue BSI-Studien: Sicher- 
heitsaspekte bei Web-2.0- 
Anwendungen, insbesonde- 
re auf der Grundlage von 
Ajax, behandelt eine Studie 
des Bundesamtes für Si- 
cherheit in der Informa- 
tionstechnik. Eine zweite 
informiert über Log- und 
Monitoring-Informationen 
vor allem hinsichtlich ihrer 
Tauglichkeit für IT-Früh- 
warnsysteme. Die PDFs 
sind unter den Stichwörtern 
„Web 2.0“ und „Logdaten- 
studie“ unter www.bsi. 
bund.de/literat zu finden. 


Mehr Bankentrojaner: 
Von den derzeit täglich 
rund 10 000 neu auftau- 
chenden Schädlingen sind 
33 % trojanische Pferde so- 
wie weitere 5 % auf Ban- 
kendienste spezialisierte 
Trojaner. Im vergangenen 
Jahr ist die Anzahl dieser 
Banking-Trojaner um fast 
500 % von 19042 (2006) 
auf 88 165 (2007) gestie- 
gen, meldet Panda Security 
(www.pandasecurity.com). 


a-i3-/BSI-Symposium: 
Um die Sicherheit von 
Internetportalen und den 
Identitätsschutz geht es im 
gleichnamigen Symposium, 
das von der Arbeitsgruppe 
Identitätsschutz im Internet 
(a-i3) und dem BSI veran- 
staltet wird. Die interdiszi- 
plinäre Expertentagung 
richtet sich an Mitarbeiter 
und Verantwortliche aus 
den Bereichen IT-Sicher- 
heit, Softwareentwicklung, 
E-Commerce und so weiter. 
Programm und Anmeldung 
unter WWW.a-i3.018. 
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Workshare bietet Inhaltsschutz für alle Speichermedien 


Workshare Protect 6 des fast 
gleichnamigen Herstellers 
(www .workshare.com) besteht 
aus einem Werkzeug-Set für 
Desktops und Laptops und soll 
Dokumente sowie Inhalte auf 
der Grundlage von Policies vor 
Informationslecks schützen. Ei- 
ne Clientsoftware lässt sich mit 
Microsofts Office 2007 und Lo- 
tus Notes integrieren und bietet 
die Möglichkeit, nach inhalte- 
abhängigen Regeln Daten auf 
Festplatten und mobilen Spei- 
chermedien zu verschlüsseln. 
Eine sogenannte Lightspeed- 
Engine soll auch versteckte Da- 
ten in Dokumenten aufspüren 


und entfernen, bevor sie das 
Unternehmen verlassen. Mittels 
kryptografischer Signatur las- 
sen sich bestimmte Inhalte mit 
einer überprüfbaren Identität 
versehen. Das bedeutet, dass 
diese vertraulichen Informatio- 
nen beim Management-Modul 
angemeldet und dadurch, so der 
Anbieter, von der Software im- 
mer als solche erkannt werden, 
auch falls jemand den Inhalt 
über Cut-and-Paste in eine an- 
dere Datei kopiert. 

Eine weitere Komponente, 
Workshare Protect Network, ar- 
beitet als Hardware-Appliance, 
kümmert sich um Inhaltsmoni- 


toring sowie -analyse und soll 
selbsttätig Maßnahmen einlei- 
ten, falls sich in der Übertra- 
gung befindliche Daten gegen 
vordefinierte Sicherheitsregeln 
verstoßen. Diese Maßnahmen 
können beispielsweise in einer 
Datenverschlüsselung bestehen. 
In den Schutz sind auch Endge- 
räte mit einbezogen, auf denen 
kein Protect-Client installiert 
ist. Schließlich gibt es eine Ma- 
nagementkomponente, über die 
die Regeln zentral erstellt wer- 
den sollen und die die Verwal- 
tung der Schlüssel für Festplat- 
tenverschlüsselung übernimmt. 

Susanne Franke 


Sicherheit für VMware-Umgebungen mit Stonesoft-Appliance 


Der Sicherheitsanbieter Stone- 
soft hat seine Firewall/VPN- 
Appliance für virtuelle VM- 
ware-Umgebungen zertifizieren 
lassen. Die virtuelle Software- 
Appliance mit einem gehär- 
teten Debian-Betriebssystem 
und Firewall- sowie VPN- 
Funktion eignet sich für grö- 
ßere Unternehmen und soll 
laut Anbieter einfach verviel- 
facht werden können, um den 
Datenverkehr an jedem belie- 
bigen Ort zwischen den Servern 
und Netzwerken in der virtuel- 
len Umgebung zu sichern. Die 
Appliances, sowohl die physi- 
schen als auch die virtuellen, 
lassen sich zentral über das 
Stonegate Management Center 
verwalten und über Policies 
steuern. Der Anbieter ist kürz- 
lich dem VMware Technology 
Alliance Partner Program bei- 


getreten, um nach eigenen 
Aussagen künftige Entwick- 
lungen näher an der Plattform 
ausrichten zu können. Eine 
weitere virtuelle Appliance 
mit IPS-Funktion (Intrusion 
Prevention System) ist für die- 
ses Jahr geplant. 

Für Anbieter von Managed 
Services und große Unter- 


nehmen stellte Stonesoft außer- 
dem zwei neue Produkte vor: 
Das Intrusion-Prevention-Sys- 
tem IPS-6100 und die Firewall 
FW-5100. Beide Geräte sind für 
Hochleistungsumgebungen kon- 
zipiert und zeichnen sich durch 
einen hohen Datendurchsatz 
(IDS 4 GBit/s; FW 10 GBirt/s) 
aus. Susanne Franke 


Forensiksoftware mit verbesserter Suchfunktion 


Accessdata (www.accessdata. 
com), amerikanischer Herstel- 
ler von Forensiksoftware, hat 
nach langer Wartezeit Version 
2.0 seines Forensic Toolkit 
(FTK) veröffentlicht. Mit der 
neuen Version soll die Arbeit 
an großen Datenträger-Images 
leichter von der Hand gehen, da 
eine Oracle-Datenbank für die 
Speicherung der Falldaten ver- 
wendet wird. Durch die Kom- 
bination mit der bereits in der 
Vorgängerversion 1.7 vorhan- 
denen Suche von dtsearch soll 
es spürbare Geschwindigkeits- 
vorteile und noch einfachere 
Suchmöglichkeiten geben. An 


Dateisystemen unterstützt das 
Werkzeug FAT, FAT32, NTFS, 
EXT2, EXT3, ReiserFS, HFS, 
HFS Plus, ISO 9660, Ghost und 
VMware, an E-Mail-Formaten 
unter anderem MBOX, PST, 
AOL, DBX, EDB, RFC 822, 
Hotmail sowie Yahoo. 

Die bisher nur über das 
Passwort Recovery Toolkit se- 
parat erhältlichen Passwort- 
analyse-Funktionen sind nun 
in FTK enthalten. In der neu- 
en Version soll der Ermittler 
während des Indexierens wei- 
ter am Fall arbeiten können. 
Mit dem ebenfalls neuen FTK 
Enterprise führt der Hersteller 


nun erstmals Clientkomponen- 
ten ein, die auch flüchtige Da- 
ten sichern sollen - inklusive 
RAM. Dieses Konzept ist be- 
reits vom Konkurrenzprodukt 
Encase Enterprise bekannt und 
bedingt, dass der Agent idea- 
lerweise vor dem Sicherheits- 
vorfall auf das kompromittier- 
te System aufgespielt wurde. 
Die neue Unicode- und Code- 
page-Unterstützung ermöglicht 
die robustere Darstellung aller 
Unicode-kodierten Sprachen, 
beispielsweise Arabisch, He- 
bräisch und des koreanischen 
Alphabets Hangul. 

Alexander Geschonneck 
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Open Source 


D 
A 
Neuer Band: Unter dem 
Motto „Zwischen freier 
Software und Gesellschafts- 
modell“ hat das Team von 
der TU Berlin um Professor 
Lutterbeck das Open 
Source Jahrbuch 2008 vor- 
gestellt. In fünf Kapiteln 
setzen sich die Autoren — 
meist Insider der Commu- 
nity — mit den Aspekten 
rund um freie Software aus- 
einander. Die PDF-Version 
gibt’s unter www.open 
sourcejahrbuch.de, eine ge- 
druckte Fassung wird bei 
Lehmanns (www.lob.de) 
erscheinen. 


Neuer Besitzer: Sun will 
seine Virtualisierungsplatt- 
form xVM (www.sun.com/ 
xvm) ausbauen und den 
Anbieter von Open-Source- 
Virtualisierungssoftware 
Innotek GmbH überneh- 
men. Das Produkt Virtual- 
box unterstützt unter ande- 
rem PC mit Windows von 
3.1 bis Vista, Linux ab Ker- 
nel 2.2, Solaris x86, Net- 
ware und DOS; das knapp 
20 MByte große Paket steht 
unter WWW.Openxvm.org 
zum Download bereit. 


Neuer Schirm: Vizekanz- 
ler und Bundesaußenminis- 
ter Frank-Walter Steinmeier 
hat für den vom 28. bis 31. 
Mai in Berlin stattfindenden 
Linuxtag die Schirmherr- 
schaft übernommen. Er 
unterstreiche damit die Be- 
deutung von Open Source 
sowie Linux für den Stand- 
ort Deutschland und betone 
zugleich die Wichtigkeit of- 
fener Standards für die un- 
gehinderten Informations- 
austausch in der globalen 
Wissensgesellschaft. 


Neuer Zweig: Mit der jetzt 
freigegebenen Version 7.0 
haben die Entwickler des 
FreeBSD-Projekts (www. 
freebsd.org) eine neue Re- 
lease-Familie ihres Unix- 
Derivats freigegeben. 
Gleichzeitig kündigten sie 
für Mai an, die offizielle 
Unterstützung für den 5.x- 
Zweig einzustellen. iX wird 
sich FreeBSD 7.0 in der 
nächsten Ausgabe genauer 
ansehen. 
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Chemnitzer Linuxtage feiern 10. Geburtstag 


Zum inzwischen zehnten Mal 
fanden dieses Jahr die Chemnit- 
zer Linuxtage (CLT) statt - eine 
reife Leistung, andere Linux- 
Veranstaltungen sind längst ver- 
gessen. Vermutlich ist die starke 
Verbindung mit der Community 
zumindest ein Teil des Er- 
folgsrezepts, eine Kommer- 
zialisierung findet weiterhin 
nur sehr dezent statt. Mit 
immerhin fünf parallelen Sit- 
zungen an zwei Tagen boten 
die Veranstalter dem Publi- 
kum ein prall gefülltes Vor- 
tragsprogramm, ergänzt durch 
einen „Linux Live“ genannten 
Ausstellungsbereich und weitere 
Angebote wie Workshops, LPI- 
Zertifizierungen, eine Key-Sig- 
ning-Party oder die Praxis Dr. 
Tux. Erstmals fand auch ein 
Workshop zum Thema Open 
Hardware statt. 

In seiner Keynote stellte 
Shane Coughlan von der Free 


Open-Source-Konferenz auf der Industriemesse 


Im Rahmen der diesjährigen 
Hannover Messe (21. bis 25. 
April, www.hannovermesse.de) 
veranstaltet das Open Source 
Automation Development Lab 
(OSADL, www.osadl.org) eG 
unter dem Motto „Open Source 
meets Industry“ am 22. April 
einen Kongress, der sich mit 
dem Einsatz von freier Soft- 
ware in Embedded-Umgebun- 
gen beschäftigen wird. 


Software Foundation Europe 
fest, dass Linux und freie Soft- 
ware nun wirklich im IT-Main- 
stream angekommen seien. 
Dieser Erfolg verändere jedoch 
die Community: Es gebe neue 
Interessengruppen und Diskus- 


: Chemnitzer 


1. und 2. März 2008 


sionen und einen verstärkten 
Blick auf die Folgen sowie ge- 
sellschaftlichen und kommer- 
ziellen Auswirkungen auch 
außerhalb der „Techie-Com- 
munity“. Die Herausforderung 
für die Zukunft sei aber eine 
andere: Bei allem Erfolg hätten 
bisher „nur“ eine Milliarde 
Menschen Zugang zu freier 
Software, die restlichen fünf 
Milliarden jedoch nicht. 


Für das Programm konnten 
die Organisatoren eine Reihe 
namhafter Vertreter der Open- 
Source-Szene gewinnen. Die 
Liste reicht dabei von Bruce 
Perens, Schöpfer des Begriffs 
„Open Source“, über Kernel- 
Entwickler wie Alan Cox, 
Thomas Gleixner, Greg Kroah- 
Hartman und Andrew Morton 
bis hin zu Rechtsanwalt Till 
Jäger, der die juristischen As- 


Zwei neue Zarafa-Versionen 


Zur Cebit hat Zarafa (www.za 
rafaserver.de) zwei Varianten 
seiner Linux-Groupware vor- 
gestellt. So verfügt die neue 
Version 6.00 neben den obliga- 
torischen Bugfix- und Polierar- 


Dates Beartecen Anweht Ehren Lmmgekten Trtran dife 
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beiten über einen Cached/Off- 
line-Modus für Outlook-Clients, 
einen mehrbenutzerfähigen Ka- 
lender für den Webzugriff so- 
wie die vor allem für größere 
Anwender interessante Option, 
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Michael Weisbach von 
IBM wagte ebenfalls einen 
Blick in die Glaskugel. Auch 
im Lichte der „Green IT“ blie- 
ben die Themen Konsolidie- 
rung und Virtualisierung ak- 
tuell, wobei die Zukunft in 
komplexen Mischlösungen 
aus freier und proprietärer 
Software bestehen würde. 
Auch Software-Appliances 
seien wieder im Kommen. 
Nicht zu unterschätzen sei 
die neue (im Sinne von an- 
derer) Komplexität der dabei 
entstehenden Landschaften. 
Die würde tendenziell, bei- 
spielsweise bei SaaS-Konzep- 
ten (Software as a Service), 
größere Anbieter bevorzugen. 
Wenn sich diese Prognose er- 
füllen würde, wären dies für 
viele kleinere Anbieter im Li- 
nux-Umfeld schlechte Nach- 
richten. Frisst die Revolution 
ihre Kinder? Christian Böttger 


pekte des Open-Source-Ein- 
satzes beleuchten wird. Im 
Vordergrund sollen nicht spe- 
zielle technische Entwicklun- 
gen stehen, sondern Fragen aus 
der Praxis des traditionell kom- 
merziell-industriell geprägten 
Umfeldes. Die Teilnahme kos- 
tet 80 Euro (inklusive Messe- 
und Nahverkehrsticket), die 
Buchung kann direkt über die 
OSADL-Webseite erfolgen. 


Attachments in eine separate 
Datenbank auslagern zu kön- 
nen. Zarafa liefert wahlweise 
fertige Pakete für Debian, Fedo- 
ra, Opensuse, Red Hat, SLES 
und Ubuntu. Die Basis-Varian- 
te für fünf Benutzer kostet 300 
Euro inklusive Wartung und 
Updates für das erste Jahr. 

Mit der als 6.10 bezeichne- 
ten Fassung begibt sich Zarafa 
auf das Terrain der Hosting- 
Versionen für den SaaS-Ein- 
satz. Der Hersteller sieht dabei 
sein neues Multi-Domain-fähi- 
ges Produkt als echte Alternati- 
ve zu Hosted Exchange. Man 
hofft vor allem über den Preis 
mit den großen ISPs ins Ge- 
schäft zu kommen. Ähnliches 
gelang Open-Xchange vergan- 
genes Jahr durch seine Koope- 
ration mit 1&1. 
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MARKT + TRENDS 


Kommunikation 


Sicherer Webzugang für Unternehmens-PCs 


Das neue Produkt Safe Surfer 
der Sicherheitsfirma Secunet 
(www .secunet.com) soll das 
Infizieren von Behörden- und 
Unternehmens-PCs beim Zu- 
griff auf das Internet verhin- 
dern. Dazu wird auf jeden Ar- 
beitsplatzrechner statt des 
Webbrowsers eine X-Server- 
Software installiert. Über sie 
greift der Benutzer nicht di- 
rekt auf das Internet, sondern 
auf einen zentralen Webbrow- 
ser zu. Der holt sich die Daten 
aus dem Internet und liefert 
dem Client lediglich eine 
Bildschirmausgabe. Ähnlich 
funktionieren Druckaufträge: 
per PDF und E-Mail. 


Ergänzt wird die Sicherheits- 
architektur durch eine zwischen 
Client und Surf-Server sowie 
Surf-Server und Internet ge- 
schaltete Firewall plus Proxy- 
Server. Weitere Bausteine des 
Sicherheitskonzepts von Safe 
Surfer ist das Neustarten des 
Surf-Servers in individuell defi- 
nierbaren Intervallen von einem 
sicheren Medium sowie ein 
Integritätscheck gegen eine 
Referenzdatenbank. Bei An- 
griffen alarmiert Safe Surfer 
den Verantwortlichen und 
startet automatisiert eine Neu- 
installation des Systems. Po- 
tenzielle Schadsoftware wird 
dabei gelöscht. 


Gute Speichergeschäfte - stabile Reihenfolge 


Auf ein erfreuliches Ab- 
schlussquartal 2007 dürfen die 
Anbieter von Speicherma- 
nagement zurückblicken. Das 
Marktvolumen weltweit stei- 
gerte sich im Vergleich zum 
Vorjahr um 11,2 % auf 2,9 
Mrd. Dollar. Damit lag der 
Zuwachs knapp ein Prozent- 
punkt höher als im Gesamtjahr. 
IDC zufolge führten insbeson- 
dere gute Geschäfte im Archi- 
vierungssegment zu mehr 
Wachstum. Mit Blick auf das 
vierte Quartal führte EMC die 
Liste der größten Anbieter an, 
wenn auch der Marktanteil um 
1,5 Punkte auf 26 % zurück- 


ging. Die folgenden drei Her- 
steller Symantec (18 %), IBM 
(12 %) und Netapp (8 %) 
konnten dagegen ihre relative 
Marktstellung ausbauen. Dabei 
wies letztgenannte Firma das 
mit Abstand höchste Wachs- 
tum auf. Eine vergleichbare 
Entwicklung errechnete IDC 
mit Blick auf das Gesamtjahr. 
Wie 2006 führten EMC, Sym- 
antec, IBM, Netapp und HP 
die Liste an. Unter den um- 
satzstärksten Herstellern war 
auch hier Netapp (35 %) der 
„Wachstumsriese“, während 
Hewlett-Packard mit 0,5 % das 
Ende zierte. 


iX-Umfrage: 
Cebit-Besuch? Nein, danke! 


Wenig Gegenliebe erfuhr die 
weltgrößte Computermesse bei 
den Teilnehmern der iX-Um- 
frage, die parallel zu Ausgabe 
3/08 lief. Satte 43 % hielten ei- 
nen Besuch auf dem hannover- 
schen Messegelände für Zeit- 
verschwendung, 33 % gaben 
an, ihnen fehle die Zeit. Nur 
18 % opferten einen oder meh- 
rere Tage für die ITK-Show 
(Details siehe Grafik). 


Dieselbe Frage war auch im 
Vorjahr gestellt worden; gegen- 
über den 2007er-Ergebnissen 
ist die Cebit-Akzeptanz immer- 
hin um ein paar Prozentpunkte 
gestiegen — was ja durchaus 
mit den gestiegenen Besucher- 
zahlen korreliert. 
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Am 19. März startet auf www. 
ix.de eine neue Umfrage, The- 
ma: Laptop vs. stationärer PC. 


Wieder einmal geht es bei unserer Umfrage um 
weltgrößte IT-Messe. Die Frage ist: Besuchen Si 
diesem Jahr die Cebit? 


Nein, das halte ich 
für Zeitverschwendung. 


| 
u 


Nein, dazu fehlt mir 


leider die Zeit. 

Nein, das wurde nicht 9 
genehmigt. u I 
Ja, einen Tag 15% E 
opfere ich dafür. 5 


Ja, mindestens zwei Tage 
müssen es schon sein. 


3%] 


Ja, (fast) jeden Tag. 1% | 


Freenet-DSL vor dem Verkauf 


Vorstand und Aufsichtsrat der 
Freenet AG haben beschlossen, 
das DSL-Geschäft und das 
Portalgeschäft in zwei neu zu 
gründende Tochtergesellschaf- 
ten auszugliedern. Versatel- 
Chef Peer Knauer soll bereits 
Interesse an einer Übernahme 


des DSL-Geschäftes bekundet 
haben, um einen DSL-Verbund 
gegen die Deutsche Telekom zu 
schmieden. Auch über den Kauf 
der Kölner QSC durch Versatel 
oder der hinter dem Unterneh- 
men stehenden Apax Partners 
wurde bereits spekuliert. 


Anschluss-Entbündelung macht Fortschritte 


Anfang März hat die Telekom 
endlich ihre Preisvorstellungen 
für den entbündelten IP-Bit- 
stream-Access (IP-BSA) bei 
der zuständigen Regulierungs- 
behörde, der Bundesnetzagen- 
tur, eingereicht. 24,76 Euro pro 
Monat möchte man als Miet- 


preis für das „entbündelte DSL“ 
erhalten, das Konkurrenten oh- 
ne Infrastruktur die Chance er- 
öffnet, ein DSL-Angebot ohne 
Telefonanschluss-Zwang einzu- 
richten. Innerhalb von zehn 
Wochen will der Regulierer 
nun eine Entscheidung fällen. 


T-Systems findet Partner 


Der Telekom-Bereich T-Sys- 
tems ging Anfang März eine 
weitgehende Kooperation mit 
dem US-Pendant Cognizant 
ein. Diese Partnerschaft „ver- 
bindet einen US-Dienstleister 
mit starken Wurzeln im indi- 
schen Markt und einen der füh- 
renden europäischen Anbieter“, 
wird offiziell gejubelt. Beide 
Firmen bündeln ihr Beratungs- 
geschäft für Projekte bei Unter- 
nehmen mit Offshore-Kapazi- 
täten in Asien und liefern 
weltweit gemeinsam. Die lange 
Suche nach einem Partner hat 
damit letztendlich doch noch 
zum Erfolg geführt. 

Vor allem europäische Fir- 
men sollen von der größeren 
geografischen Reichweite bei 
Projekten vor Ort, vom breite- 
ren Service-Angebot und dem 
weltweiten Zugang zu IT-Kräf- 
ten profitieren. Über 40 000 
Mitarbeiter beider Unterneh- 
men arbeiten off-shore. Insge- 
samt vereinen T-Systems und 
Cognizant rund 110 000 Mitar- 
beiter weltweit. Als Teil der 
neuen Geschäftspartnerschaft 
wird die indische Niederlassung 
von T-Systems mit rund 1150 
Mitarbeitern an Cognizant ge- 
hen. In den Regionen soll der 


jeweils stärkere Partner bei den 
Projekten federführend sein. 
Nach Ausführungen von T- 
Systems-Chef Reinhard Cle- 
mens sei die Partnerschaft 
„faktisch ein Joint Venture“, 
allerdings ohne die Komple- 
xität der sonst notwendigen 
Strukturen. Die Kooperation 
mit Cognizant wird zudem 
Folgen für die im Bereich 
Systemintegration beschäfti- 
gen Mitarbeiter von T-Systems 
haben, da deren Aufgabe nun 
zum Teil off-shore erledigt 
werden soll. Details wollte 
man aber noch nicht nennen. 
T-Systems hatte im vergan- 
genen Jahr einen Umsatzrück- 
gang von 6,9 % auf rund 12 
Mrd. Euro zu verzeichnen. 
Während das Auslandsgeschäft 
um 7 % auf 2,5 Mrd. Euro zu- 
legte, schrumpften die inlän- 
dischen Einnahmen um ein 
Zehntel auf 9,5 Mrd. Euro. Die 
Ursache dafür bilden insbeson- 
dere rückläufige interne Um- 
sätze im Konzern, die um 
15,5 % auf 3 Mrd. Euro einbra- 
chen. Das bereinigte EBITDA 
(Earnings Before Interest, Ta- 
xes, Depreciation and Amorti- 
zation) reduzierte sich um 17,7 
Prozent auf 1,1 Mrd. Euro. 


Automatisierte Bestandsdatenerfassung 


Die kalifornische BDNA hat ei- 
ne OEM-Partnerschaft mit der 
USU AG bekanntgegeben. Ähn- 
lich wie bei BMC wird die 
BDNA-Inventory-Technik die 
USU-Produktlinie Valuemation 
im Bereich der Configuration 
Management Database (CMDB) 


ausbauen. Künftig lassen sich 
damit die Daten sämtlicher IT- 
Güter im Netzwerk scannen, 
erfassen und automatisch in 
Valuemation laden. Dort er- 
folgt ein Abgleich mit einem 
umfangreichen integrierten 
BDNA-Produktkatalog. 
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Webkonferieren statt telefonieren 


Die Karlsruher Netviewer AG 
hat auf der Cebit einige Er- 
weiterungen ihrer gleichnami- 
gen Webkonferenzsoftware 
vorgestellt. Für den Einsatz der 
One2meet-Variante im Support 
steht eine Pre-Chat-Funktion 
zur Auswahl. Für einfache An- 
fragen muss der Benutzer da- 
mit nicht mehr direkt zum 
Telefon greifen oder eine kom- 
plette Netviewer-(Konferenz-) 
Sitzung führen. Ebenfalls neu 
für One2meet-Variante ist die 
Funktion Web-Calender zum 
Publizieren von Meeting-Ter- 


minen. Das Veröffentlichen ei- 
nes Webinars kann dabei wahl- 
weise als reiner Event-Link, als 
Widget zu einer Auswahl an 
Veranstaltungen oder in Form 
einer elektronischen Programm- 
zeitschrift (Electronic Program 
Guide — EPG) erfolgen. 

Mit Netviewer Live Presen- 
ter haben die Karlsruher nun 
auch ein Portal für interaktive 
Live-Veranstaltungen im Pro- 
gramm. Moderatoren lassen 
sich per Webkamera zuschal- 
ten, Fragen und Kommentare 
der Teilnehmer werden über 


Computer-Maus intuitiv bedienen 


Ein kleines Zeigegerät, das der 
Anwender wie einen Stift zwi- 
schen Daumen und Zeigefin- 
ger führt, hat die neuseeländi- 
sche Firma Simtrix entwickelt 
(www.simtrix.co.nz). Je nach 
eingestelltem Modus kann man 
mit der Maus Kopier- oder 
Verschiebeaktionen durchfüh- 
ren. Ein weiterer Modus er- 


laubt es, freie Linien zu zeich- 
nen und zu schreiben. Die 
Maus lässt sich nicht nur auf 
dem Schreibtisch bedienen, 
sondern auch auf einer Laptop- 
Tastatur. Simtrix hofft, bald 
Hersteller mobiler Geräte dafür 
gewinnen zu können, die 
Swiftpoint-Technik in ihre 
Systeme zu integrieren. 


die Chat-Funktion übermittelt. 
Des Weiteren soll in Kürze ein 
Plug-in für Microsofts Office 
Communication Server (OSC) 
verfügbar sein, mit dessen Hil- 
fe sich Netviewer-Sitzungen 
direkt aus OSC starten lassen. 
Zusätzlich zum normalen 
Windows-Arbeitsplatz enthält 
die Webkonferenzsoftware ei- 
nen einfachen Browser-Zugang 
mittels Flash. Er verfügt nicht 
über alle Funktionen der dedi- 
zierten Programme, unterstützt 
zum Beispiel keinen Datei- 
transfer. 


Neues Feld: Trend Micro 
betätigt sich neuerdings mit 
seinem „Message Archi- 
ver“ auf dem Gebiet der 
Speicherlösungen. Mitar- 
beiter sollen mit seiner 
Hilfe schnellen Zugriff über 
ihren gewohnten Mailer auf 
alle archivierten E-Mails 
bekommen können. 


Wachstum: Rund 10 
Millionen Kundendomains 
sind bei 1&1 nach eigenen 
Angaben derzeit registriert, 
je zur Hälfte auf Privat- 
und auf Geschäftskunden. 
Das bedeutet eine Verdop- 
pelung innerhalb der ver- 
gangenen drei Jahre. 


Entwendet: Finjan hat 
nach eigenen Angaben ei- 
ne in kriminellen Kreisen 
kursierende Datenbank mit 
den gestohlenen Zugangs- 
daten für mehr als 8700 
FTP-Server aufgespürt. 
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MARKT + TRENDS 


Systemmanagement 


Joseph Weizenbaum: „Dissident 
und Ketzer der Informatik” 


Im Alter von 85 Jahren ist Jo- 
seph Weizenbaum in Potsdam 
gestorben. Mit Büchern wie 
„Die Macht der Computer und 
die Ohnmacht der Vernunft“, 
„Kurs auf den Eisberg“ und 
„Computermacht und Gesell- 
schaft‘ war Weizenbaum ein 
profilierter Kritiker der zu- 
nehmenden Abhängigkeit der 
Gesellschaft von immer kom- 
plexeren Computersystemen. 


Joseph Weizenbaum wurde 1923 
als zweitältester Sohn eines 
Handwerkers in Berlin geboren, 
die jüdische Familie emigrierte 
1936 in die USA. Als Einwande- 
rer durfte er im Zweiten Welt- 
krieg nicht bei der Waffentechnik 
dienen, sondern wurde zum Me- 
teorologen ausgebildet. Nach 
dem Krieg studierte er Mathema- 
tik und konstruierte an der Uni- 
versität Detroit ein Computersys- 
tem für Wetteranalysen. Danach 
folgten Positionen bei Bendix 
Aviation und General Electric, 
wo Weizenbaum verschiedene 
Computersysteme entwickelte. 
1963 erhielt er einen Ruf an das 
Massachusetts Institute of Tech- 
nology, wo er die junge Wissen- 
schaft der Computer Science 
mitbegründete. Wissenschaftli- 
che Meriten erwarb sich Weizen- 
baum mit Studien zu SLIP (Sym- 
metric List Processor), einer 
Konkurrenz zu LISP. 


Einem breiten Publikum wurde 
Weizenbaum durch die Pro- 
grammierung von „Eliza“ be- 
kannt, einem rudimentären Dia- 
logsystem, das er unter dem 
Titel „A Computer Program for 
the Study of Natural Language 
Communication Between Man 
and Machine“ der Fachwelt vor- 
stellte. Mit Eliza machte er die 
Entdeckung, dass Menschen mit 
Computern „reden“ wollten und 
ihnen vertrauten. Aus der Er- 
kenntnis, dass Maschinen Macht 
über die Menschen erhalten, for- 
mulierte er eine Generalkritik der 
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Computerwissenschaft, die ohne 
ethische Maßstäbe den Men- 
schen entmündigt: „Der größte 
Schaden, den der Computer zur 
Folge haben könnte, hängt weni- 
ger davon ab, was der Computer 
tatsächlich kann oder nicht kann, 
als vielmehr von den Eigen- 
schaften, die das Publikum dem 
Computer zuschreibt. Der Nicht- 
fachmann hat überhaupt keine 
andere Wahl, als dem Computer 
die Eigenschaften zuzuordnen, 
die durch die Presse verstärkte 
Propaganda der Computerge- 
meinschaft zu ihm dringen.“ 


Auch nach seiner Emeritierung 
blieb Weizenbaum seinem The- 
ma treu und bereiste vor allem 
Europa als „Grabenkämpfer ge- 
gen Imperialismus der instru- 
mentellen Vernunft“, wie er es 
einmal formulierte. Mit dem Fall 
der Mauer zog Weizenbaum aus 
den USA in seine Geburtsstadt 
Berlin um. Bis zuletzt gab Joseph 
Weizenbaum Vorträge, obwohl 
ihm die Behandlung einer Krebs- 
erkrankung schwer zu schaffen 
machte. 


Zahlreiche Erkenntnisse von Jo- 
seph Weizenbaum sind heute 
Allgemeingut, etwa die Be- 
schreibung der Programmierer- 
Kultur, die für Außenstehende 
etwas leicht Irrsinniges hat, oder 
die Kritik an den überzogenen 
Versprechungen der künstlichen 
Intelligenz. Seine Warnungen 
vor Computern in Schulen, mit 
denen Kinder im „Chat“ die 
Sprache verlernen oder die Cha- 
rakterisierung als „Misthaufen 
Internet“ brachten ihm den Ruf 
ein, ein Technikfeind zu sein. 
Ein falscher Eindruck. Bis zu- 
letzt hatte Weizenbaum seinen 
Spaß mit Digitalkameras, Mobil- 
telefonen und der Kommunika- 
tion über das Internet, allem 
Neuen gegenüber aufgeschlos- 
sen und bereit, den Unsinn in der 
Technik zu kritisieren, den er 
schneller entdeckte als viele 
Nachgeborenen. Sein letztes Pro- 
grammierprojekt war „New Eli- 
za“, der Versuch, mittels Skype 
und einem digitalen Anrufbeant- 
worter einen „simulierten Joe“ 
für Diskussionen über künstliche 
Intelligenz zur Verfügung zu 
stellen. Wer über Skype anrief, 
diskutierte manchmal mit dem 
echten Weizenbaum. Diese Ge- 
spräche sind nun verstummt, die 
Themen werden jedoch weiter- 
leben. Detlef Borchers (WM) 


Rechenzentren virtuell automatisiert 


Laut Sun ist das xVM Ops 
Center, eine Managementlö- 
sung für die Virtualisierungs- 
plattform xVM zur Automati- 
sierung von Routinearbeiten im 
Rechenzentrum, jetzt verfüg- 
bar. Mit seiner Hilfe soll der 
Administrator von einer Kon- 
sole aus das ganze Rechenzen- 
trum steuern können. Er führt 
beispielsweise Firmware-Aktu- 
alisierungen durch, findet neue 
Server und installiert Betriebs- 
systeme darauf oder automati- 


siert Patches und Updates. 
xVM Ops Center verwaltet Red 
Hat und Suse Linux sowie So- 
laris auf der x86- und der 
Sparc-Plattform. Die Unterstüt- 
zung von Windows fehlt hinge- 
gen. Das xVM Ops Center ist 
über die Webseite openxvm.org 
unter der GNU General Public 
License 3 (GPLv3) freigege- 
ben. Für die Softwarewartung 
werden zwischen 100 und 300 
Dollar pro Managed Server im 
Jahr fällig. 


Virtuelle und physische Systeme überwachen 


Nimsoft hat eine neue Ver- 
sion seiner Managementlö- 
sung für das Monitoring von 
virtuellen Umgebungen vor- 
gestellt. Nimbus for VMware 
dient der zentralen Überwa- 
chung virtueller wie physi- 
scher IT-Infrastrukturen. Zu 
diesem Zweck greift die Ver- 
waltungssoftware direkt auf 


den Distributed Resource 
Scheduler von VMware zu und 
migriert virtuelle Rechner, so- 
bald Performance-Engpässe 
zum Beispiel die Service-Le- 
vel-Agreements zu gefährden 
drohen. Neu sind auch automa- 
tische Alarm- und Reporting- 
funktionen für VMwares Event 
Logs. 


Virtualisierung mangelt es an Management 


Weltweit räumen 54% der 
Großunternehmen dem Ma- 
nagement virtueller Server- 
Umgebungen einen entschei- 
denden oder hohen Stellenwert 
in der IT ein. Jedoch sind nur 
45 % davon überzeugt, dass ih- 
re Unternehmen auf diesem 
wichtigen Gebiet effektiv ar- 
beiten. Das ist eine der Kern- 
aussagen der weltweiten Studie 
www.ca.com/us/products/colla 
teral.aspx?cid=166635 zum 
Thema „Management von vir- 
tuellen IT-Umgebungen“, die 
CA in Auftrag gegeben hat. 
56 % der Befragten nutzen ver- 
schiedene Plattformen und An- 


bieter für das Management der 
Server-Virtualisierung. Nur 35 % 
arbeiten auf einer einzigen 
Plattform. Für 68 % der Be- 
fragten spielt das zentralisierte 
Management von virtualisier- 
ten heterogenen Plattformen 
oder physischen IT-Umge- 
bungen eine entscheidende 
oder sehr wichtige Rolle. Für 
die Studie wurden 300 IT-Ma- 
nager aus Unternehmen in den 
USA, Europa, dem Nahen Os- 
ten und Afrika (EMEA) sowie 
dem asiatisch-pazifischen Wirt- 
schaftsraum (APAC) mit mehr 
als 250 Mio. Dollar Jahresum- 
satz befragt. 


Prozess- und Management-Automatisierung 


Die Neu-Isenburger Matrix42 
AG, die seit Januar nahezu 
vollständig der Asseco Germa- 
ny gehört, hat das eigene Pro- 
duktportfolio durch Koope- 
rationen und wechselseitige 
Zertifizierungen ausgebaut. So 
schloss man eine Allianz mit 
Thinstall, einem Entwickler 
der gleichnamigen Plattform 
für Applikationsvirtualisierung. 
Das erlaubt Matrix42 und sei- 
nen Wiederverkäufern, Thin- 
stall direkt anzubieten. Durch 
die Kombination der Virtuali- 


sierungssoftware mit der Ma- 
nagementsoftware Empirum 
Suite entsteht eine Plattform 
für das Management der Sys- 
tem-Upgrades und Software- 
Installation, die Stabilität und 
Integrität einer Desktop-Umge- 
bung gewährleisten soll. Neu ist 
auch die per Zertifikat bestätig- 
te Integration zwischen Empi- 
rum und der Software-Suite 
von update4u zum Automatisie- 
ren der organisatorischen und 
kaufmännischen Prozesse des 
IT-Service-Managements. 
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Beruf 


IT-Freiberufler verdienen mehr 


Die IT-Freiberufler in Deutsch- 
land profitieren einer aktuellen 
Analyse des Projektportals 
Gulp zufolge weiterhin vom 
Fachkräftemangel. Im Durch- 
schnitt können sie in diesem 
Jahr nach einem abermaligen 
Anstieg bei Projekteinsätzen 
71 € pro Stunde verlangen. So 
fordert mittlerweile jeder fünf- 
te IT-Selbstständige (21 %) 
ein Honorar zwischen 80 und 
99 €. Immerhin 8 % der IT- 
Experten verdingen sich erst 
ab einem Stundensatz von 


100 €. Nach Tätigkeiten aufge- 
schlüsselt profitierten Projekt- 
leiter am stärksten; sie erhöh- 
ten ihr Durchschnittshonorar 
von 76 auf 78 € verbessert ha- 
ben sich auch Berater (auf 
74 €), Trainer (67 €), Software- 
entwickler (64 €) und Quali- 
tätssicherungsexperten (63 €). 
Einzig die Administratoren 
stagnieren unverändert bei 
55 €. Der Honoraranstieg ex- 
terner IT-Mitarbeiter zieht 
sich durch fast alle Postleit- 
zahlregionen. Die höchsten 


Gehälter in der IT-Branche gestiegen 


Laut der Gehaltsanalyse des 
Online-Karriereportals Mons- 
ter verdienen Bereichsleiter 
und Hauptabteilungsleiter in 
der IT-Branche 2008 deutlich 
mehr als noch vor zwei Jah- 
ren. Arbeitnehmer in diesen 
Positionen kommen durch- 
schnittlich auf ein Jahresbrut- 
togehalt von 82 000 € was ei- 


nem Anstieg von 15 000 € 
gegenüber 2006 entspricht. 
Auch Berufseinsteiger erhal- 
ten mehr: Im Vergleich zu 
2006 erhöhte sich das Ein- 
stiegsgehalt in 2008 um 
6000 € auf rund 37 000 €. 
Um den gleichen Betrag konn- 
ten Angestellten ohne Lei- 
tungsfunktion ihre Bezüge auf 


Honorare verlangen IT-Spezi- 
alisten mit 73 € in Frankfurt 
am Main und 72 € im Gebiet 
Düsseldorf-Köln-Bonn, ge- 
folgt vom bayerischen Raum 
und dem hohen Norden. Be- 
scheidener fallen mit 63 € be- 
ziehungsweise 66 € die Forde- 
rungen von IT-Selbstständigen 
aus der Region Halle-Leip- 
zig-Dresden sowie dem Ber- 
liner Raum aus. Das Nord- 
Süd- und zweitrangig das 
West-Ost-Gefälle bleibt folg- 
lich weiter bestehen. 


48 000 € verbessern. Der ho- 
he Gehaltsanstieg ist nach 
Ansicht der Portal-Betreiber 
eine Folge des wachsenden 
Bedarfs an IT-Fachkräften. 
Mittlerweile machen auf den 
Onlineseiten von monster.de 
und jobpilot.de IT-Jobs fast 
20 % aller veröffentlichten 
Stellenanzeigen aus. 


Abbruch: Jeder Fünfte 
bricht das Studium ab. Zu 
diesem wenig erbaulichen 
Ergebnis kommt ein Be- 
richt des HIS (Hochschul- 
informationssystem) mit 
Blick auf das Einschrei- 
bungsjahr 2001. Für Ma- 
thematikstudenten (31 %) 
und Informatiker (32 %) 
liegt die Rate noch höher. 


Preisgeld: Schüler, Studen- 
ten und Programmierer 
können sich am Wettbe- 
werb „THESEUS Talente 
2008“ beteiligen und bis zu 
10 000 € gewinnen. Der 
Wettbewerb wird vom 
Bundesministerium für 
Wirtschaft und Technologie 
ausgelobt. Weitere Infor- 
mationen zum Wettbewerb 
gibt es unter www .theseus- 
programm.de, Einsende- 
schluss ist der 14. April. 
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MARKT + TRENDS 


Web 


Internet Explorer 8: Näher an den Standards 


Microsoft hat eine erste Beta- 
version des Internet Explorer 8 
zur Verfügung gestellt. Nach ei- 
genem Bekunden hält sich der 
Browser genauer an die CSS- 
Spezifikation 2.1 (Cascading 
Stylesheets) als seine Vorgän- 
ger. So soll er den ACID2-Test 
bestehen und sämtliche von der 
Norm vorgesehenen Werte des 
display-Attributs korrekt inter- 
pretieren sowie outline imple- 
mentieren. Außerdem bietet er 
bereits das „Box Sizing“ und 
vertikalen Text aus CSS3. 
Verschwunden ist die has- 
Layout-Eigenschaft, die in Vor- 
gängerversionen das Layout- 
Verhalten beeinflusste. Statt 
wie in der Vergangenheit eine 
DOCTYPE-Deklaration für die 
Auswahl von „Quirks“- und 
„Strict“-Modus zu verwenden, 
hat Microsoft jetzt ein eigenes 
Meta-Attribut erfunden. Damit 
entscheiden Entwickler, ob ihre 
Webseite wie im Internet Ex- 
plorer 6, 7 oder 8 aussehen soll. 


Auch bei der Unterstützung 
für Webentwickler will der 
nächste IE mit seiner freien 
Konkurrenz gleichziehen. In- 
tegrierte Entwicklerwerkzeuge 
zeigen den DOM-Baum, die 
jeweils gültigen CSS-Attribu- 
te und die Box-Eigenschaften 
eines Elements an. Außerdem 
steht ein Javascript-Debugger 
zur Verfügung. Zumindest in 
der Beta-Version lassen sich 
CSS-Attribute jedoch in die- 
sem Werkzeug nicht ändern. 

Ähnlich wie Firefox kann 
der Internet Explorer 8 Schlüs- 
sel-Wert-Paare dauerhaft lokal 
speichern. In Verbindung mit 
neuen Netz-Events („online“, 
„offline“) gestattet dies Ent- 
wicklern, etwa beim Beenden 
der Netzverbindung Sitzungs- 
daten zu sichern. Von maxi- 
mal sechs gleichzeitigen IP- 
Verbindungen verspricht sich 
Microsoft zudem eine Be- 
schleunigung von Ajax-An- 
wendungen. 


Studie zur Typologie der Internetkäufer 


Gemeinsam mit Wirtschafts- 
woche und Handelsblatt hat 
die Hamburger Novomind AG 
(www.novomind.com) die On- 
linestudie „Käufertypologien 
im Internet — Umsatzstimula- 
tion durch erfüllte Kaufmoti- 
ve“ durchgeführt. 186 Teilneh- 
mer beantworteten Fragen zu 
Kaufentscheidungen und per- 
sönlicher Befindlichkeit in spe- 
ziellen Kaufsituationen. Bei 
gut 70 % der Befragten erfolgt 
die Produktauswahl auf der 
Basis von Meinungen und Be- 
wertungen Dritter, überwie- 
gend in Foren oder Kundenbe- 
reichen von Onlineshops. 54 % 
orientieren sich bei ihrer Kauf- 
entscheidung an hohen Ver- 


Umfrage zu E-Payment: 
Welche Zahlungsverfahren 
Kunden beim Internethandel 
akzeptieren beziehungsweise 
aus welcher Auswahl bevorzu- 
gen, ist nicht genau bekannt. 
Im Rahmen des Projekts 
„E-Commerce-Leitfaden“ führt 
Ibi Research in Zusammenar- 
beit mit acht Anbietern von 
Zahlungssystemen bis zum 


kaufsrängen und Benutzer- 
beurteilungen, während gerade 
einmal 27 % ihr persönliches 
Umfeld befragen. Während sich 
Kunden beim Einkauf im „rich- 
tigen“ Laden häufig von Ver- 
käufern unter Druck gesetzt 
fühlen (16 % der Befragten), 
empfindet die Mehrheit (70 %) 
der Umfrageteilnehmer das 
Kaufen via Internet als ange- 
nehm, da sich Online-Empfeh- 
lungen, virtuelle Beratung oder 
Erfahrungsberichte nach Belie- 
ben aufrufen lassen. Fast die 
Hälfte schließlich (43 %) fühlt 
sich beim Internetkauf freier 
und weniger bevormundet als 
bei der Shoppingtour im realen 
Geschäft. 


30. April eine Umfrage unter 
Onlinehändlern durch. Teil- 
nahme und weitere Informatio- 
nen unter Www.ecommerce- 
leitfaden.de/umfrage. 


Aktualisiertes Internet- 
recht: Seit Anfang März steht 
eine überarbeitete Version des 
Internetrecht-Kompendiums 
von Thomas Hoeren online 
(www.uni-muenster.de/Jura. 
itm/hoeren/materialien/Skript/ 
Skript_Maerz2008.pdf) zur 
Verfügung. Der kostenlos ab- 


Endanwender sollen im 
neuen IE Teile einer Webseite 
abonnieren und in der Favori- 
tenleiste ablegen können. Än- 
derungen an der Seite zeigt der 
Browser dort durch Hervorhe- 
bung der URL an. In solche 
Webslices lassen sich nur die 
Teile einer Webseite überneh- 
men, die ihr Entwickler in ei- 
nen mit class=“hslice“ mar- 
kierten Container gepackt hat. 

Eine einfachere Nutzung des 
Internet sollen die „Activities“ 
ermöglichen. Sie sind in XML- 
Dateien definierte Aktionen, die 
der Anwender auf dem Doku- 
ment oder Teilen davon aus- 
führt. Webseiten stellen diese 
XML-Dateien bereit, die der 
Anwender durch Anklicken im 
Kontextmenü des IE installiert. 
So könnte man einen unbekann- 
ten Begriff in einer Website 
markieren und durch Rechts- 
klick auf den passenden Menü- 
eintrag sofort eine Definition 
dazu suchen lassen. 


Interred mit Video 


In die auf der Cebit angekün- 
digte Version 10 seines gleich- 
namigen Content-Management- 
Systems integriert Interred 
(www .interred.de) erstmals ei- 
nen Flash-Player samt Schnitt- 
system für die Redakteure. Da- 
durch können sie Videomaterial 
direkt in dem Format bearbei- 
ten, in dem es später auf der 
Webseite erscheint. Neue Funk- 
tionen erlauben es Nutzern, Bei- 
träge direkt zu kommentieren 
und selber zu erstellen. Bilder 
lassen sich nicht nur rotieren, 
konvertieren und skalieren, son- 
dern auch beschneiden. Für die 
Druckausgabe unterstützt In- 
terred jetzt Adobes Creative 
Suite 3 und Quark Express 7. 


rufbare Text enthält die 
Rechtsprechung des vergan- 
genen Jahres, das neugefasste 
Urheberrecht sowie weitere 
Änderungen. 


Vierte Beta von Firefox 3: 
Der freie Browser nähert sich 
mit einer weiteren Beta seiner 
Fertigstellung. Verbesserun- 
gen soll es diesmal vor allem 
hinsichtlich der Leistung, des 
Speicherbedarfs sowie der In- 
tegration in Linux und Mac 
OS X gegeben haben. 
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Wirtschaft 


ITK-Markt in Deutschland 


Punktlandung 


Achim Born 


Die Umsätze im hiesigen Markt für Informationstechnik, Telekommunikation und 
digitale Unterhaltungselektronik entwickelten sich 2007 wie zuletzt prognostiziert. 
Der alljährlichen Statistik des Bitkom zufolge belief sich das Wachstum auf 2 %. Für 
das laufende Jahr soll die Zunahme indes geringer ausfallen. 


on der insgesamt guten 

Konjunkturentwicklung pro- 
fitierte auch die hiesige ITK- 
Branche. Bereits zur Cebit 2007 
erhöhte der Bitkom die Wachs- 
tumsprognose für 2007 von 
1,3 % auf 2 %. Ende des Jahres 
durfte man sich freuen, mit der 
Vorhersage richtig gelegen zu 
haben, denn für den „Jahresab- 
schluss“ ermittelt der Bran- 
chen-Lobbyverband für den 
IT-Markt (Informationstech- 
nik, Telekommunikation und 
digitale Unterhaltungselektro- 
nik) ein Gesamtvolumen von 
143 Mrd. € und damit ein Plus 
von 2 %. Für das laufende Jahr 
soll der Zuwachs jedoch mit 
1,6 % im Einklang mit der Ge- 
samtkonjunktur ein wenig zu- 
rückgehen. Ein Jahr später, al- 
so 2010, soll das Plus wieder 
2 % betragen. 

Innerhalb des ITK-Markts 
gibt es derzeit leichte Ver- 
schiebungen hin zur Informa- 
tionstechnik und zur Unterhal- 
tungselektronik. Zurzeit halten 
die Segmente Informations- 
technik und Telekommunika- 
tion einen Anteil von jeweils 
46 %. Die digitale Unterhal- 
tungselektronik steht für 8 % 
des Gesamtmarkts. Die Infor- 
mationstechnik soll dieses Jahr 
um 4,6 % auf 66,9 Mrd. € 
wachsen. Für 2009 kündigt der 
Bitkom ein Plus um 4,4 % auf 
dann knapp 70 Mrd. € an. 
Dabei entpuppen sich zum 


wiederholten Male Software 
und Services als die eigent- 
lichen Wachstumstreiber. So 
soll das Marktvolumen im 
Softwaresegment 2008 rund 
14,7 Mrd. € (+5,3 %) betra- 
gen. Für 2009 wird ein weite- 
res Wachstum um 5 % auf 15,4 
Mrd. € prognostiziert. IT-Ser- 
vices sollen nach Bitkom-Be- 
rechnungen um 6,6 % und 
6,5 % auf 32,8 Mrd. € in die- 
sem Jahr und 34,9 Mrd. € im 
nächsten zulegen. Die Ge- 
schäfte mit Computerhardware 
entwickeln sich nach einigen 
schwierigen Jahren zumindest 
stabil auf einem knapp über 19 
Mrd. $ liegenden Niveau. Das 
relative Wachstum weist aller- 
dings nur bescheidene Werte 
zwischen 0,7 % und 0,3 % auf. 

Sorgenkind bleibt indes die 
Telekommunikation, deren Um- 
sätze im laufenden Jahr mit 


Deutscher ITK-Markt 2008 


Digitale CE 
8,2 % 


Informationstechnik 
46,1% 


o 


TK-Services 


226% 


Telekommunikation TK-Hardware 
45,7% 72% 


Software AG hegt ehrgeizige Ziele 


2007 hat der Darmstädter Soft- 
ware AG das beste Geschäfts- 
ergebnis ihrer Unternehmens- 
geschichte beschert. Der 
Konzernumsatz betrug 621,3 
Mio. € und stieg damit wech- 
selkursbereinigt um 36 %. Die 
Lizenzumsätze legten wäh- 
rungsbereinigt um 53 % auf 
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241,3 Mio. € zu. Das EBIT ver- 
besserte sich um 23 % auf 136,8 
Mio. €. Den Jahresüberschuss 
baute die Software AG um 21 % 
auf 73,2 Mio. € aus. Der Ge- 
schäftsbereich Enterprise Trans- 
action Systems (ETS), der 
hauptsächlich das traditionelle 
Adabas/Natural-Geschäft zu- 


66,4 Mrd. € noch einmal um 
1,5 % unter dem 2007er-Ni- 
veau liegen. 2009 soll sich der 
Schrumpfungsprozess auf 0,5% 
abschwächen, was der Bitkom 
wohlwollend als „rote Null“ be- 
zeichnet. Grund für die schwie- 
rige Marktsituation ist vor allem 
der anhaltende Preisverfall, der 
schneller voranschreitet als der 
Volumenzuwachs der verkauf- 
ten Telefoneinheiten. Positiv 
entwickelt sich innerhalb des 
TK-Markts dagegen die Daten- 
kommunikation. Dieses Seg- 
ment wächst um jährlich 5 % 
und federt zumindest teilweise 
die Verluste in der Sprachtele- 
fonie ab. 

Eingependelt hat sich die 
Nachfrage nach digitaler Unter- 
haltungselektronik. Getrieben 
durch das hohe Interesse an 
Flachbildfernsehern hat dieser 
Teilmarkt in den Jahren 2005 
und 2006 Rekordzuwächse von 
33% beziehungsweise 19% ein- 
gefahren. Selbst 2007 konnte 
man mit 8,2 % noch ein über- 
durchschnittliches Plus auf 
11,6 Mrd. Euro erzielen. Die di- 
gitale CE wächst weiter, wenn 
auch eher auf gewöhnlichem 
Niveau. Für 2008 erwartet Bit- 
kom ein Plus von 2,4% auf 11,9 
Mrd. €, 2009 soll das Wachs- 
tum 2,1 % erreichen. Neben 
Flachbildfernsehern sind es vor- 
nehmlich Spielkonsolen und 
Navigationsgeräte, die die Ge- 
schäfte ankurbeln. (WM) 


sammenfasst, trug rund 61 % 
zum Gesamtumsatz bei, die 
Webmethods-Sparte rund 39%. 
Für die Zukunft hat die Software 
AG ambitionierte Ziele: Im lau- 
fenden Geschäftsjahr soll der 
Umsatz um 24 bis 27 % wach- 
sen, womit die Milliarden-Dol- 
lar-Grenze überschritten wäre. 


Zugelegt: Der Umsatz von 
Realtech stieg nach vorläu- 
figen Zahlen 2007 um 17% 
auf 63,8 Mio. €. Das EBIT- 
DA wurde um 49 % auf 7,6 
Mio. € verbessert, das Kon- 
zernergebnis mit 4,6 Mio. € 
im Vergleich zum Vorjahr 
mehr als verdoppelt. 


Gnadenlos: Die EU-Wett- 
bewerbskommission ver- 
hängte gegen Microsoft ei- 
ne Geldstrafe in Höhe von 
899 Mio. €. Grund ist die 
Nichtbeachtung der Aufla- 
gen des Europäischen Ge- 
richtshofs zwischen März 
2004 und Oktober 2007. 
Die vor Kurzem angekün- 
digte Veröffentlichung 
der Dokumentationen von 
Microsoft kam zu spät. 


Peu a peu: Der Berliner 
PSI-Konzern hat nach vor- 
läufigen Berechnungen im 
Geschäftsjahr 2007 das 
Betriebsergebnis auf über 
3,5 Mio. € gesteigert 
(2006: 1,0 Mio. €). Der 
Konzernumsatz erreichte 
etwa 120 Mio. €. 


Oranje boven: Die nieder- 
ländische ICT ordnet ihre 
durch Übernahmen kräftig 
gewachsenen Deutschland- 
aktivitäten neu. Die hiesi- 
gen Betriebsgesellschaften 
werden in der neuen Hol- 
ding „ICT Duitsland“ ange- 
siedelt und künftig unter 
dem Namen „ICT Software 
Engineering“ agieren. 


Back in Black: Medion hat 
die Wende geschafft. Zier- 
ten noch 2006 tiefrote 

93,6 Mio. € das EBIT darf 
sich der Aldi-Lieferant 
2007 über ein Plus von 

28 Mio. € freuen. Der Um- 
satz stieg um 3,3 % auf 
1,658 Mio. €. 


Wechselkurs: Der Umstieg 
der SAP-Anwender auf die 
neue Release SAP ERP 6.0 
istin vollem Gang: Mit 

37 % setzen 22 % mehr auf 
die aktuelle Kernlösung von 
SAP als noch vor einem 
Jahr. Dies ermittelte die 
Jüngste Online-Umfrage der 
SAP-Anwendergruppe 
(DSAG) zum Investitions- 
verhalten ihrer Mitglieder. 
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Wirtschaft 


Rangliste der beliebtesten IT-Firmen 


Alles beim Alten im Wettbe- 
werb „Deutschlands beste Ar- 
beitgeber 2008“. Wie im ver- 
gangenen Jahr erhielten SAP, 
Cisco und Consol in ihrer je- 
weiligen Kategorie die Best- 
noten als Arbeitgeber. Als Ge- 


Unternehmen 
über 5000 Mitarbeiter 


SAP AG 
Dow Deutschland GmbH & Co. OHG 


Techniker Krankenkasse 


Unternehmen 
von 501 bis 5000 Mitarbeiter 


Cisco Systems GmbH 
3M Deutschland GmbH 


Impuls Finanzmanagement AG 


Unternehmen 
bis 500 Mitarbeiter 


Consol Software GmbH 
4flow AG 


Vedior Personaldienstleistungen GmbH 


Quelle: Great Place to Work Institute Deutschland 


samtsieger wechselten Consol 
und Cisco dieses Jahr die Rei- 
henfolge: Consol führt jetzt. 
SAP folgt erst auf Rang 18 der 
von der Mitarbeiterzahl unab- 
hängigen Gesamtliste, deut- 
lich nach Microsoft (Platz 7). 
Der hiesige Ableger des welt- 
weit größten Softwarehauses 
konnte aber immerhin den 
Sonderpreis für „Chancen- 
gleichheit der Geschlechter“ 
einheimsen. Die Rangliste der 
beliebtesten Arbeitgeber er- 
stellt seit 2002 federführend 
das Great Place to Work Insti- 
tute Deutschland. Die Werte 
zu Qualität und Attraktivität 
der Firmen als Arbeitgeber 
werden in einer anonymen 
Befragung unter den Mitarbei- 
tern zur Glaubwürdigkeit und 
Fairness der Führungskräfte, 
zur Identifikation mit der eige- 
nen Tätigkeit und dem Unter- 
nehmen insgesamt sowie zur 
Qualität der Zusammenarbeit 
ermittelt. Darüber hinaus flos- 
sen offizielle Angaben zu den 
Leistungen, Konzepten und 
Maßnahmen der Unternehmen 
im Personalbereich in die 
Untersuchung ein. 


United Internet schafft gute Jahreszahlen 


„Als das erfolgreichste Jahr 
der Unternehmensgeschichte“ 
feierte United Internet die Vor- 
lage der vorläufigen Konzern- 
Geschäftszahlen für 2007. Der 
konsolidierte Umsatz konnte 
um 26,7 % auf 1,487 Mrd. € 
zulegen. Das EBITDA verbes- 
serte sich sogar um 39,6 % 
auf 308,8 Mio. €. Das Ergeb- 
nis vor Steuern stieg kaum 
weniger stark um 36,9 % auf 
234,5 Mio. €. Bis Ende 2007 


Weiter Verluste: QSC ver- 
doppelte 2007 den Verlust 
auf 10,1 Mio. €. Immerhin 
konnte der Kölner TK- und 
DSL-Provider den EBITDA 
um 65 % auf 34,9 Mio. € so- 
wie den Umsatz um 28 % auf 
335,2 Mio. € erhöhen. Ur- 
sprünglich war das Manage- 
ment von einem Gewinn aus- 
gegangen. 
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hatte United Internet mit den 
Marken 1&1, GMX, Web.de 
Internetx und Fasthosts 7,23 
Millionen Kundenverträge ge- 
sammelt, 920 000 mehr als im 
Vorjahr. Den schwarzen Peter 
für ein relativ langsames 
Wachstum bei DSL-Verträ- 
gen schiebt man den „zu lan- 
gen Aktivierungszeiten der 
Deutschen Telekom bei der 
Bereitstellung von Hausan- 
schlüssen“ zu. 


Geschafft: Die Beta Sys- 
tems Software AG erzielte 
im Geschäftsjahr 2007 eine 
deutliche Ergebnisverbesse- 
rung. Das Betriebsergebnis 
(EBIT) drehte sich nach 
vorläufiger Berechnung wie- 
der ins Plus und betrug 

5,8 Mio. € (Vorjahr: 

-15,6 Mio. €). Der Gesamt- 
umsatz ging durch die plan- 
mäßige Reduzierung des 
Hardwaregeschäfts um 
knapp 10 % auf 88,7 Mio. € 
zurück. 


Quelle: IDC, 2/2008 


IDS hält an Wachstumszielen fest 


Die IDS Scheer AG hat im Ge- 
schäftsjahr 2007 den Konzern- 
umsatz gegenüber dem Vorjahr 
um 11% auf 393,5 Mio. € ge- 
steigert. Das Ebita verbesserte 
sich um 22 % auf 39,6 Mio. €. 
Der Jahresüberschuss erhöhte 
sich im Geschäftsjahr 2007 um 
25 % auf 23,4 Mio. €. Im Ge- 
schäftsbereich Beratung konn- 
te man eine Umsatzsteigerung 
von 9% auf 264,1 Mio. € er- 
zielen, die direkten Dienstleis- 
tungen im Beratungsbereich 
wuchsen um 9 % auf 234,7 
Mio. €, während die Umsätze 
mit SAP- und sonstigen Fremd- 
lizenzen sowie die korrespon- 
dierenden Wartungserlöse um 
16 % auf 29,4 Mio. € zuleg- 
ten. Die Bereichsumsätze mit 
Aris-Lizenzen, Wartung und 


Quelle: IDS Scheer, 2/2008 


Aris-Services stiegen insge- 
samt um 15 % auf 129,5 
Mio. €, die ARIS-Lizenzerlö- 
se legten um 26 % auf 57,2 
Mio. € zu. Zudem investierte 
man im vergangenen Jahr 
13,3 Mio. € in die Forschung 
und Entwicklung der Aris- 
Werkzeuge. 


Bereiche 2007 2006 
Umsatz Beratung 264,1 241,6 
Umsatz Produkte 129,5 112,7 
davon Aris-lizenzen 57,2 45,4 
Umsatzerlöse 393,5 354,3 
EBITA 39,6 32,6 
Konzernüberschuss 22,8 18,2 


Server-Verkäufe legen zu 


Im Schlussquartal vergangenen 
Jahres erwirtschafteten die Ser- 
ver-Hersteller in Europa, Nah- 
ost und Afrika den höchsten je 
erzielten Quartalsumsatz, seit- 
dem IDC ihren „Quarterly Ser- 
ver-Tracker‘ im Jahr 2000 star- 
tete. Die Einnahmen lagen mit 
knapp 5,5 Mrd. $ 3,6 % über 
dem Vorjahresvolumen. Hierzu 
mussten die Hersteller aller- 
dings mit rund 750 000 über 
7% mehr Systeme an den 
Mann bringen. Für das gesamte 
Jahr 2007 errechnete IDC ein 
Wachstum von 5,6 % auf 17,86 
Mrd. €. Die Auslieferungen 
legten um 8,9 % auf mehr als 
2,6 Millionen Systeme zu. 

Mit Blick auf die Prozesso- 
ren waren laut IDC im vierten 
Quartal 2007 knapp 46 % der 
Server mit x86-CPUs ausgerüs- 
tet. EPIC-Prozessoren konnten 
den Anteil um einen Prozent- 
punkt auf 8,5 % ausbauen. Nach 
wie vor die Nummer zwei unter 
den Prozessoren sind jedoch die 
RISC-Vertreter mit 30,4%. Ein- 
deutig die Nummer eins unter 


den Betriebssystemen ist jetzt 
Windows bei einem Anteil von 
35,7 %. Das Microsoft-System 
liegt damit drei Prozentpunkte 
vor Unix. Etliche Federn ließen 
IBMs proprietäre Offerten im 
Midrange- und Mainframe-Seg- 
ment. i5/OS verlor 3,9 % und 
z/OS sogar 9,1 %. 

Ungeachtet dessen behaupte- 
te IBM im Schlussquartal die 
führende Position. Der Abstand 
zu HP ist allerdings deutlich ge- 
schrumpft. Im Gesamtjahres- 
vergleich gelang es Hewlett-Pa- 
ckard jedoch, die zuvor knapp 
führende IBM zu überholen. 
Auf den Plätzen drei und vier 
folgen wie gewohnt Sun und 
Dell. Letztgenanntes Unterneh- 
men weist von allen Anbietern 
sowohl für das Gesamtjahr als 
auch für das Schlussquartal die 
höchsten Wachstumsraten auf. 
Wie IBM schloss Fujitsu Sie- 
mens Computers, die Nummer 
fünf im Markt, dagegen das 
vierte Jahresquartal mit einem 
Umsatzrückgang bei den Ser- 
ver-Verkäufen ab. 


Hersteller Umsatz Marktanteil 
2006 2006 

HP 5,412 32% 

IBM 5,604 33,1% 

Sun Microsystems 1,985 11,7% 

Dell 1,309 71% 

FSC 1,261 72% 

andere 1,342 79% 

Gesamtmarkt 16,912 100 % 


Umsatz Marktanteil Wachstum 
2007 2007 

6,078 34% 12,3 % 
5,580 31,2 % 0,4% 
2,092 11,7% 54% 
1,508 8,4% 15,3 % 
1,283 75% 1,8% 
17323) 174% 1,5% 
17,863 100 % 5,6% 
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Webschnittstellen 


Was die APIs von 


Amazon, Facebook et al. bieten 


Kein Gral in Sicht 


Ramon Wartala 


Das Web ist das Betriebssystem des Internet, hieß es bei 
Spiegel Online. Hier hat alles von der Unternehmens- 
Middleware bis zur Webdienstleistung seinen Platz. Dazu 
braucht es Schnittstellen für alle, die Webanwendungen 
schreiben. Der Versuch einer Strukturierung. 


John Gage und seine Mitstreiter von 

Sun Microsystems den Slogan „The 
Network is the Computer“ ausriefen und 
dabei, niemanden wundert es, als Erstes 
an die Hardware und nicht an die Mäch- 
tigkeit von Software dachten. Heute, 
über zwei Jahre nach Tim O’Reillys Ar- 
tikel zum Begriff Web 2.0 (siehe „On- 


Be in Vierteljahrhundert ist es her, dass 
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linequellen“ [a]) dürfte allerdings klar 
sein, dass Software der eigentliche 
Schlüssel zum formulierten Versprechen 
ist. Bei Software as a Service (SaaS), als 
Nachfolger des Application Service Pro- 
viding (ASP) in aller Munde, und dem 
Web 2.0 geht es im Kern um Dienste, 
die über eines der gängigen Internet- 
protokolle nutzbar sein sollen. 


Obwohl viele schon Anzeichen ei- 
ner zweiten Blase kurz vor dem Plat- 
zen sehen, steckt eine Menge Neues 
hinter dem, was derzeit Webapplika- 
tionen rund um den Erdball anbieten: 
Programmierschnittstellen jedem zur 
meist kostenlosen Nutzung zur Verfü- 
gung zu stellen. Waren solche APls 
(Application Programming Interfaces) 
in grauer Vorzeit Hilfsmittel, Betriebs- 
systeme und Programmiersprachen für 
Entwickler verdaulicher zu gestalten, 
ermöglichen die Programmierschnitt- 
stellen moderner Webapplikationen 
die Nutzung verteilter Dienste, betriebs- 
system-, programmiersprachen- und 
hardwareunabhängig. 

Schon 1996 wünschten sich Unter- 
nehmensberater von Gartner die „ser- 
viceorientierte Architektur“ (SOA) her- 
bei, die die Unternehmens-IT in viele 
kleine solche Dienste unterteilt, die 
ebenso plattform- wie programmierspra- 
chenunabhängig beliebig zusammen- 
schaltbar sein sollten. Allerdings ist es 
oft ein langer Weg von der Idee (und 
dazugehörigen Anforderungen) hin zu 
ihrer Realisierung. 


Technik-Kanon 
in Zeiten des Web 2.0 


Mussten Softwareentwickler, -architek- 
ten und -entscheider noch vor nicht all 
zu langer Zeit lediglich mit Frameworks 
der Basistechniken in Java, .Net und so 
weiter umgehen können, müssen sie 
heute ganze Technik-Zoos verstehen 
und im richtigen Moment einzusetzen 
in der Lage sein. 

Webgestützte Applikationen sind mit 
vielerlei Techniken implementiert, wo- 
bei die Programmiersprache, in der die 
Anwendung geschrieben ist, zuneh- 
mend in den Hintergrund rückt und 
browserbasierte Techniken eine Renais- 
sance erleben. Javascript beispielsweise 
hat Netscape schon 1995 als Teil des 
Navigator eingeführt; die Sprache erfüllt 
im Web-2.0-Umfeld in Bibliotheksform 
wie Prototype, JQuery, Scriptaculous 
und anderen (siehe [2]) eine wichtige 
Rolle als Klebstoff zwischen Oberflä- 
chenelementen und der obligatorischen 
Ajax-Engine. 

Wenn nur wenige Daten mit der un- 
teren Applikationsschicht auszutauschen 
sind, Kommt häufig die Javascript Ob- 
ject Notation (JSON, siehe [3]) zum 
Einsatz, die das aufwendige Erzeugen 
und Analysieren von XML vermeiden 
hilft. XML kommt, wenn überhaupt, 
meist in den Microcontent-Formaten 
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RSS oder ATOM zum Einsatz. Daten in 
Mikroformaten (siehe [1]) erfreuen sich 
ebenfalls wachsender Beliebtheit. Es 
handelt sich bei ihnen um speziell ange- 
reicherten XHTML-Code, der beispiels- 
weise eine Adresse oder Daten für einen 
Kalendereintrag enthalten kann. Durch 
die Annotationen können Fremdpro- 
gramme wie Suchmaschinen solche 
HTML-Daten verarbeiten. 

Im Applikations-Backend dominier- 
ten bis vor nicht allzu langer Zeit noch 
proprietäre Protokolle. CORBA, DCOM 
und RMI waren die Techniken der Wahl 
zu einer Zeit, als die beteiligten Soft- 
warefirmen noch glaubten, jede für sich 
hätte den Gral der Middleware entdeckt 
und könnte diesen fern vom Rest der 
Welt vermarkten. Dumm nur, dass all 
diese Objekt-Austauschprotokolle zu- 
einander inkompatibel waren. Schlim- 
mer noch: Sie waren zumeist eng an die 
präferierte Programmiersprache gekop- 
pelt. Damit begaben sich Nutzer dieser 
Techniken nahezu vollständig in die 
Hände der jeweiligen Firma oder, im 
Falle von CORBA, eines Konsortiums. 
Das war in Ordnung, solange nur fir- 
meninterne Anwendungen zu integrie- 
ren waren. Die Großen der Branche wie 
IBM und Microsoft registrierten jedoch 
schon vor der Jahrtausendwende, dass 
Firmenübernahmen und -zusammen- 
schlüsse im Multimillionenstil nicht zu- 
letzt bei der Migration der Unterneh- 
mens-IT immer größere Schwierigkeiten 
bereiteten. 


Ausweg aus der 
Webservice-Hölle 


Ende der Neunzigerjahre haben Ent- 
wickler bei Microsoft das Simple Ob- 
ject Access Protocol (SOAP) vorge- 
schlagen, das das World Wide Web 
Consortium (W3C) ein paar Jahre spä- 
ter als XML-Lösungsansatz propagier- 
te, um diesem Dilemma Einhalt zu ge- 
bieten und Objekte nicht nur über 
Prozess-, sondern über Applikations- 
grenzen hinweg transportieren zu kön- 
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nen. Mittlerweile gibt es Webservice 
Interfaces für eine ganze Reihe von 
Anwendungsgebieten, die gemeinhin 
„WS-*‘“ heißen. Der Stern steht wie üb- 
lich als Wildcard für eine ganze Reihe 
von Funktionen, die man sich im Laufe 
der Zeit für Webservices erdachte: WS- 
Trust, WS-Security, WS-Reliability, 
WSRP und nicht zuletzt der Schnittstel- 
lenbeschreibungsdialekt WSDL selbst 
wurden in den letzten Jahren spezifi- 
ziert, implementiert und sicherlich von 
einigen verstanden und angewendet. 


Einfach nutzbarer REST 


Doch noch im selben Jahr, in dem sich 
IBM der Weiterentwicklung von SOAP 
angenommen hatte, beendete Roy Fiel- 
ding, einer der HTTP-1.1-Autoren, seine 
Doktorarbeit mit dem Titel ‚Architec- 
tural Styles and the Design of Network- 
based Software Architectures“ [b]. Der 
darin beschriebene Architekturstil „RE- 
presentational State Transfer“ (REST) 
gilt heute vielen als die Antwort auf die 
Frage nach einfach nutzbaren Webser- 
vice-APlIs. Dabei geht es im Kern um 
die Frage, wie komplex und atomar ei- 
ne Schnittstelle zu einem Dienst über- 
haupt sein muss. 

Dare Obasanjo, Entwickler bei Mi- 
crosoft und erfahren im Umgang mit 
Webservice-Technik, bringt es über- 
spitzt mit der Frage auf den Punkt, wie 
viele RSS-Feeds Microsoft im Gegen- 
satz zur Anzahl von SOAP-Endpoints 
produziere [c]. REST-APIs orientieren 
sich an den Optionen von HTTP und 


A-TRACT 


© Statt Hilfsmittel für Entwickler zu sein, ermöglichen die Programmierschnittstellen 
moderner Webapplikationen die betriebssystemunabhängige Nutzung verteilter Dienste. 


© Webgestützte Applikationen sind heutzutage mit vielerlei Techniken implementiert, 
wobei browserbasierte Techniken wie Javascript eine Renaissance erleben. 


© Der Architekturstil REST gilt heute als die Lösung für einfach nutzbare Webservice-APIs. 
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bilden die CRUD-Datenoperationen 
(Create, Read, Update, Delete) auf die 
HTTP-Methoden POST, GET, PUT 
und DELETE ab, um auf Daten zugrei- 
fen zu können. Und wieder waren es 
kleine Firmen, die derartige Innovatio- 
nen schneller in Code gossen als die 
etablierten der Branche. So erlaubt bei- 
spielsweise das Rails-Framework der 
Firma 37 Signals seit Anfang letzten 
Jahres die einfache Erstellung von Web- 
applikationen im REST-Stil [4]. 

Erst im Mai letzten Jahres präsentier- 
te Pablo Castro von Microsoft auf der 
MIX 07 die ersten Früchte eines eige- 
nen RESTful-Framework der Software- 
firma aus Redmond. Das auf den Na- 
men Astoria [d] getaufte Projekt soll 
das unternehmenseigene ADO.Net um 
einen REST-Ansatz ergänzen. Die Ja- 
va-Community hat mit dem Java Speci- 
fication Request 311 [e] und Suns Re- 
ferenzimplementierung Jersey [f] für 
den hauseigenen Applikationsserver 
Glassfish ebenfalls eine REST-basierte 
Lösung im Angebot. So schließt sich 
der Kreis zum eingangs erwähnten John 
Gage. Noch bezeichnender als der späte 
Einstieg der etablierten Branchengrößen 
war jedoch, dass den RESTful-Ansatz 
zuerst Anbieter von Webservices selber 
propagierten. 


Facebooks 
viele Anwendungen 


Yahoos Internet-Fotodienst Flickr war 
2005 einer der ersten, der eine REST- 
API anbot [g]. Services von Paypal, De- 
licious, Ebay, Google und schließlich 
Facebook [h] folgten. Der letztgenannte 
Dienst hat nicht nur durch wilde Speku- 
lationen über den wahren Wert einer 
derartigen Plattform Schlagzeilen ver- 
ursacht, sondern vor allen Dingen durch 
die ständig wachsende Zahl von An- 
wendungen (über 15 000, Stand Februar 
2008), die mit einer mächtigen Pro- 
grammierschnittstelle [i] erstellt wurden 
— Anwendungen, die nahezu 60 Mil- 
lionen registrierte Nutzer [j] innerhalb 
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ihres Facebook-Profils verwenden kön- 
nen. Da viele der angebotenen Dienste 
„Wrapper“ um bestehende Webapplika- 
tionen sind, sprechen einige schon von 
Facebook als dem „Betriebssystem des 
Internet“ [k]. 

Dass diese pure Masse an online 
vermarktbaren Menschen nicht nur mo- 
netäre Begehrlichkeiten weckt, sondern 
die schwarzen Schafe der Branche 
förmlich auf den Plan ruft, zeigte sich 
Anfang Januar, als eine Facebook-An- 
wendung Spyware huckepack trug. Bei 
zahlenmäßig so viel Erfolg wundert es 
kaum, dass andere Branchengrößen ih- 
re Fälle davonschwimmen sehen. So 
kündigte Google Ende Oktober letzten 
Jahres mit der Open Social [1] titulier- 
ten API eine Programmierschnittstelle 
für ein ganzes Konsortium sozialer 
Netzwerke wie Friendster, LinkedIn, 
Myspace und Xing an. 

Myspace, das zahlenmäßig größte 
Netzwerk der Google-Initiative, ging 
am 5. Februar dieses Jahres mit Infor- 
mationen zur konkreten Implementie- 
rung dieser Schnittstelle an die breite 
Entwickler-Community. 


Amazons andere Dienste 


Markplätze für Anwendungen können 
auf Unternehmensebene funktionieren — 
das hat Salesforce.com als Anbieter ei- 
nes gehosteten Customer-Relationship- 
Management-Systems (CRM) mit dem 
AppExchange getauften Handelsplatz 
bewiesen [m]. Hier können Firmen 
Lösungen basierend auf Add-ons und 
Eigenentwicklungen der Salesforce- 
Plattform anbieten und einkaufen. Seit 
2006 läuft dies sogar mit einer eige- 
nen, auf den Namen Apex getauften, 
Java-ähnlichen Programmiersprache. 
Dienste der ganz anderen Art prä- 
sentiert der Onlineversender Amazon 
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Live Plasma: 
Mashup zeigt 
Zusammenhänge 
zwischen Musikern, 
Filmen und 
Schauspielern 

„ mit Amazons 
E-Commerce-API 
(Abb. 2). 


in immer kürzeren Zeitabständen. Zu- 
erst nur eine Produktsuche, aber schon 
bald bot Amazon den Simple Storage 
Service [n] zur Speicherung von Daten 
und schließlich die Elastic Compute 
Cloud [5] zur Anmietung von Rechen- 
leistung als Webservice an. Zahlungsab- 
wicklung und eine einfache Engine zur 
Speicherung strukturierter Daten na- 
mens SimpleDB [o] befinden sich in der 
Beta-Phase. Produkt-Betas haben die 
Webservice-Anbieter von den Software- 
anbietern der ersten Generation gelernt: 
schnell eine erste Version des eigenen 
Produkts zum Anwender bringen, damit 
dieser begierig die letzten Fehler findet 
und vielleicht schon Anwendungsfälle 
konstruieren kann, an die der Produkt- 
entwickler gar nicht gedacht hat. 

Hier kommen vor allen Dingen die 
Entwickler sogenannter Mashups ins 
Spiel, die auf programmableweb.com 
[pl ein Verzeichnis von Web-APIs und 
Mashups vorfinden, das derzeit über 
590 APIs dokumentiert. Etwas Know- 
how vorausgesetzt, kann man aus der 
Fülle von Diensten eigene Anwendun- 
gen „remixen“. Dafür bedarf es nicht 
unbedingt großer Erfahrungen mit aus- 
gewachsenen Programmiersprachen und 
eines Servers im Internet. Integrations- 
werkzeuge wie Yahoos Pipes, Micro- 
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softs Popfly oder Googles Mashup Edi- 
tor [q, r, s] bieten einen einfachen Zu- 
gang aus dem Webbrowser heraus; 
Werkzeugkisten, die die Komplexität 
bei der Erstellung von Mashups ge- 
schickt in mehr oder weniger ein- 
fachen, visuellen Metaphern kanalisie- 
ren. So mutiert der Nutzer nicht nur zum 
Lieferanten von Inhalten für soziale Net- 
ze, sondern auch zum Erbauer gänzlich 
neuer Dienste, die durch einfache Ver- 
knüpfungen entstehen. 

Aus Sicht der API-Anbieter ergeben 
sich daraus interessante Geschäftsmo- 
delle. In diesem Zusammenhang wird 
im angelsächsischen Sprachraum schon 
von Crowdsourcing [t] gesprochen, das 
die Verteilung der Arbeit auf die breite 
Masse, in dem Fall der Enthusiasten 
und Early Adaptors bedeutet. 

Dass gerade Mashups als Darrei- 
chungsform Kreative anzieht, lässt sich 
an den zahlreichen Anwendungen se- 
hen, die mit Rich-Media-Techniken 
wie Adobes Flash oder Microsofts Sil- 
verlight andere visuelle Präsentation er- 
möglichen, als sie von den Entwicklern 
der eigentlichen Webapplikationen vor- 
gesehen waren. Eine weitere Form der 
Nutzung bieten sogenannte Widgets 
auf den unterschiedlichen Systemen an. 
Auf dem Desktop können die kleinen 
Helfer in Form von Gadgets für Vista 
auf Windows-PCs, als Dashboard Wid- 
gets auf dem Mac oder mit der Yahoo 
Widget Engine selbst auf dem Linux- 
Desktop Dienste von Webanwendun- 
gen ausführen [6]. Im Web selber sind 
dieselben Dienste innerhalb von Con- 
tent-Management- oder Blog-Systemen 
als Plug-ins nutzbar. 

Mancher mag sich bei all diesen 
Techniken und Diensten nach dem Wa- 
rum fragen. Was Firmen motiviert, Der- 
artiges teilweise kostenlos anzubieten — 
und was Nutzer motiviert, sich wegen 
dieser Dienste in neue Abhängigkeiten 
zu begeben. Die Frage nach der Fir- 
menmotivation lässt sich sicherlich 
leicht beantworten. Im Web regiert ein 
knallharter Wettbewerb um die Aug- 
äpfel der Konsumenten. Jede Firma 
möchte möglichst viele Nutzer in die ei- 
gene Anwendungen locken — aus unter- 
schiedlichen Motivationen, je nachdem, 
auf welcher Monetarisierungsart das ei- 
gene Geschäftsmodell fußt. Das kann 
von reinen Nutzungsgebühren nach 
dem bewährten Abo-Modell bis hin zur 
sprichwörtlich flächendeckenden Ver- 
marktung von Onlinewerbeformen auf 
der Anwendungsoberfläche reichen. 

Kostenlose Dienste können dem an- 
bietenden Unternehmen durchaus Vor- 
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teile bringen. Über eine kostenlose, aber 
nicht informationslose Registrierung 
gelangen Anbieter von Webdienstleis- 
tungen in den Besitz von Bewegungs- 
profilen, die Inhaber und Nutzer von 
Bonuskarten im wahren Leben wie träge 
Couch Potatoes aussehen lassen. Hier 
lässt sich detailliert jeder Schritt zeitlich, 
örtlich und sächlich nachvollziehen. Kri- 
tischen Naturen seien in diesem Zu- 
sammenhang die „Sechs Wahrheiten 
über freie APIs“ von Nat Torkington 
[u] ans Herz gelegt. 

Vorteile aus Nutzersicht sind dage- 
gen nicht so einfach zu fassen und las- 
sen sich nicht aus der rein kommer- 
ziell getriebenen Motivation erklären. 
Hier geht es zum einen darum, das ei- 
gene Ansehen in einer Gruppe zu er- 
höhen, indem man vielleicht einer der 
Ersten ist, der eine coole Idee in eine 
nutzbare Anwendung transformiert 
hat. Damit bietet sich Raum für selbst- 
referenzielle Berichterstattung auf 
dem eigenen Blog, das sich mindes- 
tens auf zwei Arten wirkungsvoll ver- 
markten lässt. Onlinewerbung über 
Googles Adsense auf renommierten 
Entwickler-Blogs sind vielleicht Pea- 
nuts im Gegensatz zu der Aussicht ei- 
ner Festanstellung, die ein derartiger 
Auftritt mit sich bringen kann. 


Deutschland versus USA 


Der Spruch, dass „die da über dem gro- 
ßen Teich locker zwei Jahre IT-Vor- 
sprung haben“, bestätigt sich wieder, 
wenn man sich die hiesige Landschaft 
der Web-APlIs ansieht. Nur wenige wa- 
gen die Öffnung über nutzbare Schnitt- 
stellen wie Imageloop [v] oder Plazes 
[w]. Dank des allgemeinen Copycat- 
Gedankens (siehe Tabelle 1), dass jede 
erfolgreiche, angelsächsische Webap- 
plikation ihr deutsches Ebenbild benö- 
tigt, dürften APIs zwangsläufig auch 
hier zum Renner werden. 

Natürlich hat die nahezu unbegrenzte 
Offenheit dieser schönen, neuen Diens- 
te-Welt ihre Grenzen. Immer noch gibt 
es Dinge im Netz, die beharrlich auf ih- 
re Standardisierung warten. Dazu ge- 
hört beispielsweise ein funktionierendes 
Bezahl- oder ein Single-Sign-On-Sys- 
tem. Hier kochen zumindest alle großen 
Anbieter weiterhin ihr eigenes Süpp- 
chen. Dem Nutzer und letzen Endes 
Verbraucher all dieser neuen Dienste 
und Anwendungen kann und darf es 
nicht recht sein, wenn nur ein Anbieter 
als Gewinner aus diesem Machtkampf 
hervorgeht. 


70 


In Zeiten wachsender Märkte mag 
das noch für viele eine andauernde Par- 
ty sein, die allerdings irgendwann zu 
Ende gehen dürfte. Die großen der 
Branche sind vorbereitet — sei es durch 
prall gefüllte Kriegskassen, die noch 
die letzten großen Übernahmen (siehe 
Microsoft und Yahoo) oder den Sprung 
auf immer neue Plattformen ermög- 
lichen. Seit Jahren schon verspricht das 
mobile Internet, mit seinen Millionen 
Handynutzern, das nächste große Ding 
zu werden. Da erwachen nicht nur die 
alten Firmen der Vor-Dotcom-Ära wie 
Microsoft mit Windows Mobile und 
Apple mit dem iPhone. Firmen wie 
Google mit Android [7] als offener 
Mobilfunkplattform und Nokia ver- 
suchen, schlagkräftige Allianzen zu 
schmieden. Allen gemein ist die Hoff- 
nung und die Zuversicht, welche schon 
die Medienbranche bereichert hat: 
Durch die Mehrfachverwertung der ei- 
genen Dienste auf großen Plattformen 
viele Nutzer zu erreichen. (hb) 
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node=16427261 

[o] Amazons SimpleDB 
www.amazon.com/b/ref=sc_fe_|_2? 
ie=UTF8&node=342335011& 
no=343536 1 &me=A36L9A2TSJ2AJA 

[pl Verzeichnis von Web-APIs und Mashups 
www.programmableweb.com/apis/directory 

[al Yahoo Pipes 
pipes.yahoo.com/pipes/ 

[r] Microsofts Popfly 
www.popfly.ms 

[s] Googles Mashup Editor 
code.google.com/gme/tour/tourl.html 

[f] Crowdsourcing 
www.wired.com/wired/archive/14.06/ 
crowds.html 

[u] Nat Torkingtons „Six Basic Truths of Free APIs” 
radar.oreilly.com/archives/2007/04/ 
six_rules_for_a.html 

[v] Imageloops API 
www.imageloop.com/de/api/index.htm 

[w] Plazes’ API 
plazes.com/api/docs 
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Webprogrammierung | 


Jagd nach dem 
Schnäppchen 


Andreas Oesterhelt, Jan Seidler 


Seit seiner Gründung vor 12 Jahren hat sich Ebay zu einer der 
größten E-Commerce-Plattformen entwickelt. Aus technischer 
Sicht handelt es sich um einen gigantischen Datenbestand, 
den man über eine Vielzahl von Schnittstellen anzapfen kann. 
Der Einbau von Markplatz-Daten oder -Funktionen in die 
eigene Anwendung lohnt sich nicht zuletzt durch die Affiliate- 


Programme in vielen Fällen. 


scher Vertreter des Web-2.0-Mo- 

dells. Die Firma ermöglicht Inter- 
aktion zwischen ihren Benutzern, in 
deren Verlauf der Datenbestand rei- 
cher und für alle Benutzer wertvoller 
wird. Die öffentlichen Informationen 
wie Auktionen, Gebote, Bewertungen, 
Forenbeiträge sind letztlich benutzerge- 


E: ist schon lange ein prototypi- 
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nerierte Inhalte. Darüber hinaus kann 
man weite Teile der Ebay-Sites selbst 
als Mashup sehen. Auf vielen Seiten 
der Plattform sind mit üblichen Web- 
2.0-Techniken kontextverwandte Infor- 
mationen verwoben. 

In den weniger zentralen Bereichen, 
etwa den Microsites zu speziellen The- 
men, hat Ebay darüber hinaus schon 


viele dynamische Ajax-Entwicklungen 
eingebaut, bis hin zu Seiten, die de fac- 
to keinen servergenerierten HTML- 
Content mehr haben. 


Weitreichender 
Zugriff erlaubt 


Über umfangreiche Schnittstellen sowie 
vielfältige Datenquellen und Services 
bietet die Plattform Zugriff auf nahezu 
sämtliche Aspekte des Ebay-Gesche- 
hens. Nach ausdrücklicher Zustim- 
mung der jeweiligen Benutzer über ein 
spezielles, „Auth & Auth“ genanntes 
Login-Verfahren ist sogar der Zugriff 
auf ausgewählte persönliche Informa- 
tionen und Funktionen erlaubt, bis hin 
zur Abgabe von Geboten oder dem 
Einstellen neuer Auktionen. Extern bie- 
tet beispielsweise die Krefelder Via- 
Online mit ihrer Software Afterbuy 
(www .afterbuy.de) eine über die APIs 
integrierte Lösung für die komfortable, 
automatisierte Abwicklung von Auktio- 
nen, inklusive Rechnungsstellung und 
Kundendatenverwaltung an. 

Tatsächlich werden schon heute über 
25 Prozent aller Auktionen über die 
APIs eingestellt. Monatlich erfolgen über 
5,5 Milliarden API-Aufrufe. Da ist es 
nicht weiter verwunderlich, dass Ebay 
im Laufe der Jahre nicht nur die techni- 
schen Kapazitäten, sondern auch das 
Angebot an Toolkits, Dokumentationen, 
Veranstaltungen und Support innerhalb 
des Entwicklerprogramms konsequent 
ausgebaut hat. Kernstücke sind die do- 
kumentierten Software Development 
Kits (SDKs) und Testtools, zu denen 
eine Sandbox-Testumgebung gehört. 
Bei Schwierigkeiten während der Ent- 
wicklung steht zudem ein technisches 
Support-Team von Ebay bereit. 

Von den APls ist deshalb im Plural 
die Rede, weil Ebay die insgesamt über 
120 angebotenen Calls auf zwei ver- 
schiedene Schnittstellen aufgeteilt hat, 
die für unterschiedliche Anwendungen 
optimiert sind. Dabei ermöglichen die 
Abrufe der Shopping-Webservices, öf- 
fentliche Daten auf schnelle, leichte und 
schlanke Weise abzurufen. Mit dieser 
API realisieren Entwickler etwa Such- 
funktionen über Auktionen, Benutzer, 
Produkte, Testberichte sowie den Abruf 
einzelner Angebote oder Benutzer. Der 
Funktionsumfang befindet sich in stän- 
diger Erweiterung, auch weil die Abrufe 
der alten REST-API schrittweise hier- 
her migriert werden. Technisch steht 
die Shopping-API als REST- und als 
SOAP-Schnittstelle zur Verfügung. 
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Die ungleich umfangreicheren Trading- 
Webservices, die ausschließlich über 
SOAP ansprechbar sind und vielfach 
Authentifizierung über ein Benutzer- 
Token erfordern, stellen im Gegensatz 
dazu zentralere und komplexere Funk- 
tionen bereit, die das gesamte Marktge- 
schehen vom Einstellen von Auktionen 
über Gebote, Abruf von Transaktionen 
nach Auktionsende bis zur Bewertung 
des Handelspartners abdecken. Dar- 
über hinaus lassen sich nahezu alle 
persönlichen Daten verwalten, etwa 
die Listen beobachteter, ge- oder ver- 
kaufter Artikel. Sogar das Web-Äqui- 
valent von Callbacks ist machbar: Man 
kann die API bitten, beim Eintreten be- 
stimmter Events aktiv eigene HTTP- 
URLs aufzurufen. 


Marktgeschehen 
abgedeckt 


Bei der Wahl der Sprache ist der Ent- 
wickler frei; schließlich tauschen die 
REST und SOAP-Protokolle nur Text- 


Alles meins: 

Im Dashboard kann 
man seine 
individuelle Sicht 
auf Ebay 
zusammenstellen 


(Abb. 1). 


aus hand e 
Audies Com Fr 
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nachrichten aus, die man notfalls in As- 
sembler generieren und untersuchen 
könnte. Das Herstellen eines eigenen 
SOAP-Connectors aus den WSDL-Be- 
schreibungen, die das Entwicklerpro- 
gramm bereitstellt, ist ebenfalls nicht 
jedermanns Sache. So fällt die engere 
Wahl auf Sprachen, für die SDKs exis- 
tieren: PHP, Perl, Java, C#, Javascript 
oder Actionscript innerhalb einer Flash- 
Anwendung. Ebay selbst hat kürzlich 


auf seine Daten - per REST und SOAP. 


A-TRACT 


e Mit insgesamt 120 Calls aus zwei APIs erlaubt Ebay externen Entwicklern Zugriffe 


© Ebay selbst hat mit einer Mischung aus PHP und Javascript ein sogenanntes 
Dashboard entwickelt, das als Vorbild für kleine Anwendung dienen kann. 


© PHP inklusive des von Ebay stammenden EbatNS sowie die Javascript-Bibliothek 
Prototype und ein bisschen XSLT reichen aus, eine Schnäppchenjagd zu pro- 
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beispielsweise unter dem Namen Ebay 
Desktop eine nur auf Adobe Air und 
der Ebay API basierende Software fer- 
tig gestellt, die ein vollständig neues 
Benutzer-Interface anbietet. 

Doch nicht nur über die APIs lassen 
sich Daten des Marktplatzes für Web-2.0- 
Applikationen abrufen. Diverse öffent- 
liche RSS- und XML-Feeds (beispiels- 
weise in den Bereichen Community, 
Blogs, News und Answer Center) kann 
ein externer Entwickler ebenso berück- 
sichtigen wie die komplementären Funk- 
tionen für Entwickler von Paypal, Shop- 
ping.com oder Skype. 


Ajax und kein Ende: 
Das Dashboard 


Besonders interessant für Betreiber von 
Webseiten auf der Suche nach Web-2.0- 


grckimieren Inhalten sind die Ebay Relevance Ads, 
in denen man leicht und schnell im 
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Listing 1: Konfigurationsdaten 


«php 
Ik 
Lebay-config] 

dev-key-prod = <bitte ergänzen? 
app-key-prod = <bitte ergänzen? 

cert-id-prod = <bitte ergänzen» 

site-id = 77 ; eBay.de 

app-mode = 0 ; 1 => sandbox, 0 => production 
[ebay-transaction-config] 
use-http-compression = 1 

#/ 

» 


Rahmen eines Affiliate-Programms pas- 
sende Werbemittel auf die eigenen Sei- 
ten integriert, mit denen der Besitzer 
wiederum Einnahmen generieren kann. 

Es müssen nicht zwangsläufig exter- 
ne Entwickler sein, die über die APl an 
Ebay andocken. Eine von und für Ebay 
betriebenen Site, die dennoch über die 
API zugreift und technisch viele Web- 
2.0-Register zieht, ist das Ebay-Dash- 
board. Ursprünglich zur Einbettung in 
3rd-Party-Portale entwickelt, bietet es 
dem Benutzer eine radikal individuali- 
sierbare Sicht auf Ebay. Informationen, 
die sonst auf verschiedenen Unterseiten 
verfügbar sind, wie die persönliche Be- 
obachtungs- oder Gebotsliste, verbin- 
den sich mit Messaging, RSS-Reader, 
Suchmöglichkeit inklusive Kartendar- 
stellung des Artikelstandorts und 


tionsformat laufen (im Gegensatz zu 
Festpreis-, Shop- und anderen Forma- 
ten), bald enden, und für die noch keine 
Gebote vorliegen. Auf der Clientseite 
muss eine Javascript-basierte Infra- 
struktur vorhanden sein, die den Feed 
und das Stylesheet anfordern, anschlie- 
ßend die XML-Daten in HTML trans- 
formieren und schließlich einen Contai- 
ner innerhalb der Seite dynamisch mit 
den Ergebnissen befüllen kann. Nicht zu 
vergessen: das XSLT-Stylesheet für die 
Transformation. 


Futter für die Jagd 


Soweit es den Feed betrifft, stellt sich 
die Frage, warum der Client die Daten 
nicht direkt über die API beziehen kann 
— ohne den Umweg über einen Feed- 
Server, der seinerseits die API-Kommu- 
nikation betreibt. Und tatsächlich kann 
man gänzlich ohne eigene Serverkom- 
ponente arbeiten. Dagegen sprechen 
aber praktische Aspekte. Ein XML-Feed 
ist nur für XMLHttpRequest-basierte 
Verarbeitung verdaulich, die aber auf 
die Domain des aktuellen Dokuments 
beschränkt ist. Der alternativ verfügbare 


JSON-Feed wird als <script> eingebun- 
den, und ist daher schlecht dynamisch 
parametrisierbar. In jedem Fall ist das 
Tracking erschwert und die AppID aus 
dem Key-Tripel für den Client transpa- 
rent. Der Hauptgrund für einen eigenen 
Feed ist aber oft, die Daten lokal abglei- 
chen und anreichern zu können. 

Für die Schnäppchenjagd soll daher 
eine stark vereinfachte Variante des 
Dashboard-Aufbaus zum Einsatz kom- 
men: PHP mit EbatNS (Shopping) für 
den Feed, Javascript mit Prototype auf 
dem Client. Nachdem alle nötigen Bi- 
bliotheken und Tools beschafft und in- 
stalliert sind, kann es mit der Imple- 
mentierung des Feed losgehen. Damit 
dieser mit der Shopping-API kommuni- 
zieren Kann, ist zunächst das Key-Tri- 
pel nötig. Dieses kann dem EbatNS auf 
verschiedene Weisen zur Verfügung ge- 
stellt werden; am einfachsten in einer 
Konfigurationsdatei (siehe Listing 1). 

Jetzt kann das eigentliche Feed- 
Skript beginnen und die relevanten 
Klassen des EbatNS einbinden (Lis- 
ting 2, Abschnitt 1). Die ServiceProxy- 
Shopping-Klasse wickelt die API-Kom- 
munikation inklusive Erzeugung von 
SOAP-Requests und Parsing der Res- 
ponses und aller nötigen Konver- 


anderen Daten zu einer Sicht. 
Dashboard realisiert hat, sind ein 


die Codebeispiele dieses Artikels 
Verwendung findet: Server liefern 
dynamischen Content und die 
Feeds durch PHP aus, das zu die- 
sem Zweck mit der PHP-Tem- 


Listing 2: PHP-Feed (6 Abschnitte) 


Die Mittel, mit denen Ebay das <aphp 

II Abschnitt 
f ß , . require_once "EbatNs/EbatNs_$erviceproxyShopping.php' ; 
klassischer Ajax-Mix, der auch für require 
require_once "EbatNs/FindItemsAdvancedResponseType.php'; 
require_once "EbatNs/EbatNs_DataConverter.php'; 

II Abschnitt 2 

$session = new EbatNis_Session('config.php'); 

$proxy = new EbatNs_ServiceProxyShopping($session); 
$proxy->setParserOption("NO_UNSET_METADATA', true); 
$proxy->setParserOption("NO_REDUCE", true); 

II Abschnitt 3 

$request = new FindItensAdvancedRequestType(); 


once "EbatNs/FindItensAdvancedRequestType.php'; 


plate-Engine Smarty, den ein- 
schlägigen PEAR-Modulen sowie 
zur Anbindung an die Ebay-API 
(Shopping und Trading) mit dem 
Accelerator Toolkit for PHP 
(EbatNS) ergänzt wurde. Für das 
„rich“ in Rich Client zeichnet ne- 
ben dem Browser-internen Sup- 
port für XMLHttpRequest und 
XSLT vor allem die populäre Ja- 
vascript-Klassenbibliothek Proto- 
type verantwortlich, in den Berei- 
chen Drag&Drop und visuelle 
Effekte kommt das Prototype-ba- 
sierte Scriptaculous zum Einsatz. 
Weil Ausprobieren manchmal 
mehr bringt als Nachlesen (und 
mehr Spaß bereitet), folgt hier ein 
Beispiel mit Grundbausteinen aus 
der Shopping-API: eine Suche 
nach günstigen Angeboten. Dafür 
ist ein Feed erforderlich, der zu ei- 
nem gegebenen Keyword solche 
Angebote findet, die im Auk- 
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$request->setQueryKeywords(utfö_decode($_REQUESTL"query'])); 
$request->setEndTinefron(date('Y-n-d H:i:s', tine() + 120)); 
$request->setEndTineTo(date("Y-m-d Hii:s', tine() + 86400)); 
$request->setltemType("Auctionltensonly'); 
$request->setBidCountllax(0); 

II Abschnitt 4 

$request->setltemSort("EndTine'); 
$request->setSortOrder("Ascending'); 
$request->setlaxEntries(5); 


$request->setPageNumber(isset($_REQUESTL'page']) ? S_REQUESTL'page'] : 1); 


II Abschnitt 5 
$result = $proxy->FindItensAdvanced($request); 
if ($proxy->istood($result)) € 
$result->_elements["CurrentPage'] = array 
( 


"required! => false, 

"type! => "string", 

'nsURI" => "urnzebay:apiszeBLBaseConponents', 
"array! => false, 

"cardinality' > '0,,1' 


Sresult->CurrentPage = isset($_REQUESTL"page']) ? $_REQUESTL"page'] 


II Abschnitt 6 
header("Content-Type: text/xnl'); 
echo('<?xml version="1,0" encoding="utf-8"%'); 
echo 
( 
$result->serialize 
( 


'ebaySearchResults', $result, null, true, null, new 
EbatNs_Datalonverterlso() 


tierungen ab. Aus den API-Res- 
ponses werden analog strukturierte 
PHP-Objekte erzeugt, die außer 
dem Payload alle Metadaten zur 
XML-Struktur der Response bein- 
halten, sodass eine Rückkonvertie- 
rung jederzeit möglich ist. Analog 
existieren Klassen, die die Re- 
quests repräsentieren und deren In- 
stanzen vor der Übergabe an den 
Proxy parametrisiert werden kön- 
nen. Der DataConverter schließ- 
lich dient der Reserialisierung 
schon analysierter Responses, wie 
sie bei der Verwendung von API- 
Results als XML-Feed anfallen. 
Zunächst muss das Feed-Skript 
den ServiceProxy instantiieren 
und mit dem Key-Tripel ausstat- 
ten. Zum Einlesen der Konfigu- 
rationsdatei dient ein Session- 
Objekt, dessen Konstruktor den 
Pfad der Datei übergeben be- 


1; kommt. Die Session wird im zwei- 


ten Schritt bei der Erzeugung des 
Proxy verwendet (Listing 2, Ab- 
schnitt 2). Die Parser-Optionen 
sind nur im Hinblick auf die spä- 
tere erneute XML-Serialisierung 
erforderlich und sorgen für die 
Erhaltung der Metadaten zum 
Response-Format und aller leerer 
Knoten — beides würde sonst 
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Listing 3: XSLT-Stylesheet 


<’yml version="1.0"% 
sxslistylesheet version="1.0" xmlnsixsl="http://wuw.w3.0rg/1999/XSL/Transforn"> 
<xsl:decimal-format decimal-separator="," grouping-separator=","/> 
sxslitemplate match="/"> 
stable cellpadding="0" cellspacing="2" border="0"> 


<Ixsl:choose> 
<itd 
<td» 
<a href="{$ItenLink}"> 
<xslivalue-of select 


<tr> 


Artikelbezeichnung 
<ith> 
<th> 
Preis 
<ith> 
<itr> 


<xslivariable name="zeilentyp"> 
<xslichoose> 


<xslzotherwise>gerade</xsliotherwise> 
<Ixsl:choose> 
<Ixsl:variable> 
str class="zeile_{$zeilentyp}"> 


<td> 
<xslichoose> 
uslinhen test="GalleryURL"> 
<a href=" {$ItenLink}"> 


(GalleryUrL)}" alt="{Title}"/> 
</a> 
<Ixslinhen> 
<xslzotherwise> 


height="60" border="0"/> 
<la> 
<Ixslzotherwise> 


<xsliuhen test="position() mod 2 = 1">ungerade<s/xsl:uhen> 


<xslivariable nane="ItenLink" select="VieultemURLForNaturalSearch"/> 


<img height="64" width="64" border="0" sre="{normalize-space P4 <Itd> 
<td colspan="1" align="right"> 

sxsliif test="ebaySearchResults/CurrentPage Alt; ebaySearchResults/TotalPages"> 
sspan style="cursor: pointer; color: blue;" onclick="findEbayltens(null, P4 
'next')">Weiter</span> 


<lar 
<itd 
<td» 
<b> 
<xslivalue-of se 


</b> 


<br/> 
<xslivalue-of se 


<insl:if> 
<itd 
<itr> 
<Ixsl:for-each> 
<tr> 
<td colspan="2"> 


<Inslzif> 


<a href=" {$ItenLink}"> <Insliif> 
sing sre="http://pies.ebaystatic.com/au/pics/de/entertainnentratgeber/ Ps </td> 
vi/E-Ratgeber_Icon-Bild-weiss_80x60. gif" alt="{Title}" width="80" 4 sit 


<Itable> 
</xslitenplate> 
<Ixslistylesheet> 


ect="concat(ConvertedCurrentPrice/dcurrencyld," zZ 
format-nunber (ConvertedCurrentPrice, '#.##0,00'))"/> 


xsl:if test="ConvertedBuyltNowpricel="0'"> 


ect="concat(ConvertedBuyltNowPrice/äcurrencyID, 
format-nunber (ConvertedBuyltNowPrice, '#.##0,00'))"/> 
sxsl:for-each select="ebaySearchResults/SearchResult/ItenArray/Sinpleiten"> <br/> 
<ing border="0" title="Sofort-Kaufen" alt="Sofort-Kaufen" 7 
sre="http://pics.ebaystatic.com/an/pics/de/bin_15x54.gif"/> 


sxsliif test="ebaySearchResults/CurrentPage gt; 1"> 
<span style="cursor: pointer; color: blue;" onclick="findEbayltens P4 
(null, 'previous')">Zurücks/span> 


="Title"/> 


W 


nach dem Parsing verworfen. Nachdem 
diese Voraussetzungen geschaffen sind, 
kann die eigentliche Arbeit beginnen: 
die passende Request-Klasse der Shop- 
ping-API zu instantiieren und mit den 
empfangenen CGI-Parametern zu konfi- 
gurieren (Listing 2, Abschnitt 3). 


Zeitunterschiede 
bitte beachten 


Dafür bekommt der frisch erzeugte Re- 
quest den externen Suchstring über- 
geben, dessen vom Client empfangene 


UTF-8-Kodierung entfernt werden 
muss, weil der Proxy bei der Generie- 
rung des SOAP-Requests alle Parameter 
ohnehin kodiert. Es folgen die Ein- 
schränkungen für die Restlaufzeit der 
Auktionen von minimal zwei Minuten 
bis maximal einem Tag. Hier sollte man, 
wie bei allen Zeitangaben in der Ebay- 
API, darauf achten, dass die lokale Zeit 
des Servers nicht zwangsläufig mit der 
offiziellen Ebay-Zeit übereinstimmt. 
Ein NTP-Client sowie am besten zu- 
sätzlich eine regelmäßige Bestimmung 
des Offsets über den API-Call Ger- 
eBayOfficialTime sind Voraussetzung 


für zuverlässige Ergebnisse bei zeitkri- 
tischen Anwendungen. Die Anfrage 
wird weiter eingeschränkt: Sie verlangt 
ein echtes Auktionsformat (im Gegen- 
satz zu Festpreis-, Shop- und anderen), 
und es dürfen keine Gebote vorliegen. 
Die Namen der Methoden des Re- 
quest-Objekts sowie die möglichen 
Werte der Parameter korrespondieren 
im Wesentlichen 1:1 mit der XML- 
Struktur der API. 

Außer den Suchkriterien kann und 
sollte man noch die Sortierung der Er- 
gebnisse festlegen. Für die Schnäpp- 
chenjagd heißt das: aufsteigend nach 


iX 4/2008 


75 


© Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. 


Webprogrammierung | 


Listing 4: HTML-Datei 


<!pOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" 
"http: //uuw.w3.org/TR/htnl4/loose.dtd"> 
<htnl» 
<head> 
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> 
sscript typez"text/javascript" sre="static/prototype.js"></script> 
stitle>Ebay-Suche per Ajax </title> 
sstyle type="text/css"> 
tr.zeile_gerade { background: #eeeeee; } 
tr.zeile_ungerade { background: #ffffff; } 
td { padding: 3px; } 
th € background: #dddddd; } 
<Istyle 
<Ihead> 
<body> 
<p> 


<form onsubmit="findEbayltens($("keywordInput').value); return(false);"> 


<input type="text" id="keywordInput" size="15"> 
<input type="submit" value="Finden"> 
<Iform> 
</p> 
<div id="ebayltemsContainer">Noch keine Ergebnisse.</div> 
</body> 
</htnl> 


beliebige On-the-fly-Konver- 
tierungen der Werte definiert 
werden. Der hier verwende- 
te, mitgelieferte DataCon- 
verterlso (siehe Listing 2, 
Abschnitt 6) erledigt bei- 
spielsweise die Konvertie- 
rung von Zeitangaben zwi- 
schen der lokalen Zeitzone 
und Ebay (GMT). 


Transformation 


nach HTML 


Mit dem fertigen Feed ist 
ein wichtiger Schritt ge- 
schafft, allerdings fehlt zu 


Endzeit = die in Kürze endenden Auk- 
tionen zuerst. Um dem Benutzer die 
Treffer in verdaulichen Häppchen anbie- 
ten zu können, aber nicht selbst große 
Datenmengen zwischenspeichern zu 
müssen, nutzt das Skript die API-seitige 
Paginierung, das heißt es fordert jeweils 
nur fünf Treffer an, kann aber nach An- 
forderung des Clients auf beliebige „Sei- 
ten“ der so segmentierten Ergebnismen- 
ge zugreifen (Listing 2, Abschnitt 4). 
Die eigentliche Ausführung des Re- 
quests übernimmt der ServiceProxy, der 
als Ergebnis ein Objekt vom Typ Find- 
ItemsAdvancedResponseType zurück- 
gibt. Vor der Weiterverarbeitung soll er 
zunächst prüfen, ob das Ergebnis brauch- 
bar ist und nicht etwa ein Kommunika- 
tions- oder API-Fehler vorliegt. Falls ja, 
könnte er es schon fast an den Client 
weiterreichen, wäre da nicht noch ein 
kleiner Stolperstein (fehlender Wert, sie- 
he unten), an dem sich die oft auch aus 
anderen Gründen sinnvolle Anreiche- 
rung externer Daten auf dem Feed-Ser- 
ver zeigen lässt: Damit die Navigations- 
elemente für die Ergebnispaginierung 
bei der XSLT-Transformation des Feeds 
auf dem Client generiert werden kön- 
nen, müssen die XML-Daten sowohl die 
aktuelle Seitenzahl als auch die Gesamt- 
zahl der Seiten enthalten. In der API- 
Response findet sich aber nur Letztere. 
Die dafür nötige neue Klassenvariable 
im FindltemsAdvancedResponseType- 
Objekt lässt sich in PHP durch simple 
Zuweisung festlegen, allerdings muss 
sie noch das Template mitbekommen, 
das bei der späteren XML-Serialisierung 
nötig ist (siehe Listing 2, Abschnitt 5). 
Jetzt kann das so ergänzte Response- 
Objekt wieder in XML gewandelt wer- 
den, was ein wenig umständlich, dafür 
aber flexibel ist; unter anderem können 
der Name des Root Node gewählt und 
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den XML-Daten noch das 
Stylesheet, das sie im Browser zu 
HTML transformiert. Der Beispielcode 
(Listing 3) erzeugt am Root Node ei- 
nen HTML-Tabellenkopf samt Spal- 
tenüberschriften, und iteriert anschlie- 
Bend über die Kinder des ebaySearch 
Results/SearchResult/ItemArray-Knotens 
vom Typ Simpleltem, die die einzel- 
nen Auktionen repräsentieren. Neben 
einer alternierenden Vergabe der CSS- 
Klassen der Tabellenzeilen für bessere 
Lesbarkeit sind hier die Einbindung ei- 
nes festen Dummy-Image für Auktio- 
nen ohne Galeriebild und die bedingte 
Erzeugung der „Vor“ und „Zurück“- 
Verweise der Paginierung im Tabellen- 
fuß interessant. Hier taucht auch der 
eben eingeschmuggelte CurrentPage- 


Listing 5: Suchfunktion 


function findEbayltens(searchString, pageNo) { 
var XSLTProc; 
var XMLProc; 


var haveXML = false; 

var haveXSLT = false; 

var XMLBuffer; 

function fetchXSLTdatal) € 
new Ajax.Request 
{ 


'styles/ebaySearchResults.xsl', 
{ 
ontomplete: function(response) 
( 
handleResponse(response, "XSLTdata'); 


I 
method: 'get', 
asynchronous: true 


); 
} 


function fetchXMLdata() { 
new Ajax.Request 
{ 


"feed.php?', 
ontomplete: function(response) 
handleResponse(response, "XNLData'); 
nethod: 'get!, 
asynchronous: true, 


parameters: "page" + pagello + "&query=! 
+ encodeURIConponent(searchString) 


Knoten wieder auf, dessen Wert mit 
dem aus der API stammenden Toral- 
Pages verglichen wird. 

Weil die Inhalte per Ajax dynamisch 
eingefügt werden, muss der Content der 
Seite nur einen minimalen Aufhänger 
enthalten, der aus dem Suchformular 
und einem Container für die Ergebnisse 
besteht, für deren spätere Formatierung 
noch ein minimalistischer Style vorge- 
sehen ist (siehe Listing 4). 

An das Submit-Event des Suchfor- 
mulars ist ein Aufruf der Funktion find- 
Ebayltems() gebunden, wobei Proto- 
type die praktische Notation $('keyword 
Input‘) für das Input-Element ermöglicht. 


Den Ergebniscontainer 
füllen 


Was jetzt noch fehlt, ist genau diese 
Funktion, die den Feed aufrufen, das 
Stylesheet beschaffen und anwenden so- 
wie schließlich den ebayltemsContainer 
mit dem Ergebnis füllen soll. Zur besse- 
ren Übersicht und um die einzelnen Ver- 
arbeitungsschritte über asynchrone Call- 
backs anstoßen zu können, wenn ihre 
Ausgangsdaten vorliegen, werden im lo- 
kalen Scope der Funktion separate Hel- 
per zur Beschaffung der XML- und 
XSLT-Daten und zum Handling der 
Ergebnisse definiert; Statusvariablen 
verfolgen den Eingang der Daten. 

fetchXSLTData() und fetchXMLDa- 
ta() in Listing 5 stützen sich beide auf 
die bequeme Ajax.Request-Klasse von 
Prototype, deren Konstruktor in einem 
Aufruf alle nötigen Parameter ent- 
gegennimmt, die Callbacks registriert 
und den REST-Call zur Quelle anstößt, 
in diesem Fall zum statischen Style- 
sheet und zum Feed. 

Die handleResponse()-Funktion be- 
handelt die eingehenden Daten beider 
Art. Wegen der unterschiedlichen 
XSLT-Implementierungen im Internet 
Explorer einerseits und den Gecko-ba- 
sierten Browsern und Opera auf der an- 
deren sind hier Browser-Weichen erfor- 
derlich. Wenn das Stylesheet eintrifft, 
werden in beiden Fällen der jeweilige 
XSLT-Prozessor erzeugt und das Style- 
sheet eingelesen. Beim Eingang der 
XML-Daten zeigt sich ebenfalls ein 
Unterschied: Der IE kann das XML in 
einem DOMDocument-Objekt zwi- 
schenlagern, während man den anderen 
Browsern hier mit einem explizit ange- 
legten Puffer unter die Arme greifen 
muss. Sobald der zweite Callback ein- 
schlägt, das heißt alle Daten für die 
Transformation vorliegen, kann das 
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Listing 6: Response Handling 
function handleResponse(response, type) 
{ 

switch (type) 

{ 


case 'XSLTdata': 
if (response.status == 200) 
x 


if 
( 
docunent. inplenentation 
&& document. implementation.createDocument 


{ 
XSLTProc = new XSLTProcessor(); 
XSLTProc. inportStylesheet(response.responseXill); 
} 
else if (window.ActiveX0bject) 
{ 
XSLTProc = new ActiveX0bject("NSXML2.DOMdocunent'); 
XSLTProc. loadXML(response,responseText); 
} 
haveXSLT = true; 
3 


break; 
case 'XMLdata': 

if (response.status == 200) 

{ 


if 
( 
docunent. implenentation 
&& document. implementation.createDocument 


XMLBuffer = response. responseXNL; 


else if (window.ActiveX0bject) 


Rendering nach HTML erfolgen. Hier 
gibt es ebenfalls leichte Unterschiede: In 
Gecko-Browsern und Opera muss der 
DOM-Baum, den der XSLT-Prozessor 
zurückliefert, explizit in HTML-Quell- 
code serialisiert werden, während IE 
dies automatisch erledigt. Das HTML 
wird direkt aus dem Renderer in die up- 
date-Methode des Protype-Node-Ob- 
jekts gespeist, und — endlich — bekommt 
der Benutzer das Ergebnis zu sehen. 

Ironischerweise kennt IE ein natives 
outerHTML-Property für alle DOM- 
Elemente, obwohl es dort in diesem 
Kontext nicht nötig ist, während die 
Serialisierung für Gecko-Browser und 
Opera hergestellt werden muss: 


{ 
XMLProc = new ActiveXObject("MSXML2.DOMDocunent'); 
XMLProc.LoadXNL(response.responseText); 


haveXML = true; 
} 
break; 


} 
if (haveXlL && haveX$LT) 
{ 
if 
( 
docunent. implenentation 
&& document. implementation.createDocument 
) 
{ 
$("ebayltensContainer').update 
( 
getQuterHTML 
( 


XSLTProc.transformToFragment(XMLBuffer, document) 


li 
} 
else if (window.ActiveX0bject) 
{ 


$("ebayltensContainer').update 
( 
XNLProc.transfornNode(XSLTProc) 
i 
} 
} 
} 


var xmiserializer; 
function getOuterHTML[element] { 
if (Ixmlserializer) { 
xmiserializer = new XMLSerializer|); 


return xmiserializer.serializeToString(element]; 


} 


Am Fuß der findEbayltems()-Funktion 
in Listing 5 ist noch über den aktuel- 
len Stand von Suchbegriff und Page 
Buch zu führen, damit die relativen 
Calls aus den Paginator-Links bedient 
werden können, und schließlich sind 
fetchXSLTData() und ferchXMLDa- 
ta() anzustoßen, um den ganzen Me- 
chanismus in Gang zu bringen (siehe 
Listing 7). 


Listing 7: Ende des Javascript-Codes 


var currentSearchString; 

var currentPageNo; 

if (!pageNo) pageNo = 1; 

else if (pageNo == "previous') pageNo = currentPagelo - 1; 
else if (pageNo == 'next") pageNo = currentPageNo + 1; 
currentPageNo = pageNo; 

if (!searchString) searchString = currentSearchString; 
currentSearchString = searchString; 

fetchX$LTdata(); 

fetchXNLdata(); 


Fazit 


Um hier nicht nur isolierte Codefrag- 
mente, sondern ein in sich geschlosse- 
nes, lauffähiges Codebeispiel zeigen zu 
können, mussten alle Extras außen vor 
bleiben, vor allem ein schickes Ausse- 
hen. Der Tauglichkeit der beschriebenen 
Techniken für den professionellen Ein- 
satz tut das aber keinen Abbruch, und so 
bleibt zu hoffen, dass jeder, der bis hier- 
hin gelesen hat, eigene Ideen für kreative 
Ebay-Anwendungen im Kopf hat. (hb) 
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Facebook-Applikationen entwickeln 


Das eigene Gesicht 


Ramon Wartala 


Nicht nur, dass das Studentennetz Facebook einen riesigen 
Erfolg hatte - über eine API kann jeder Anwendungen 
schreiben, die dort integrierbar sind. 


ls der 24-jährige Facebook-CEO 
A“ Zuckerberg am 24. Mai 

2007 seine Rede zur Öffnung 
der Facebook-Plattform hielt (siehe 
Onlinequellen [d]), ging ein Rauschen 
durch den Blätterwald. Google Trends 
vermerkte für diesen Tag einen steilen 
Anstieg des Interesses an Facebook. 
Aus Marketing- wie technischer Sicht 
kann diese Ankündigung sicherlich als 
Coup gelten. Facebook öffnete sein so- 
ziales Netz für Fremdanwendungen. 
Dabei lässt das Studentenportal Ent- 
wickler nicht nur auf die eigene Daten- 
basis zugreifen, sondern ermöglicht 
außerdem die visuelle Einbindung per- 
sönlicher Inhalte und die Verteilung 
der Applikation über die Facebook- 
Plattform selber. 
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Im Klartext heißt das: Potenziell kann 
man mit einer Applikation mehr als 60 
Millionen Nutzer erreichen, Tendenz 
steigend. Und das wiederum bringt für 
Facebook entscheidende Vorteile. Durch 
das als Crowdsourcing bezeichnete Nut- 
zen fremder und für Facebook kostenlo- 
ser Entwicklungsressourcen gewinnt das 
Netz jede Menge Anwendungen hinzu, 
und Anwendungsfälle gibt es reichlich: 
Spiele, E-Mail-Anbindung, To-do-Lis- 
ten, Kalender und ganze Office-Applika- 
tionen wie die Einbindung von Zoho [a] 
zeigen, dass großes Interesse an Face- 
book als Integrationsplattform besteht. 

Etablierte Anwendungen erreichen 
mit ihrer Ausprägung in Facebook auf 
einen Schlag eine höhere Nutzerschaft, 
neue Anwendungen, die ganz auf den 


sogenannten Social Graph [b] setzen, 
ermöglichen sogar kleinen Firmen mit 
innovativen Ideen einen schnellen 
Markteintritt. 

Um zu verstehen, was eine Face- 
book-Applikation kann und darf, muss 
man den Aufbau und die Anknüpfungs- 
punkte kennen, an der man die eigene 
Applikation in die Plattform „einha- 
ken“ kann. Kern eines jeden sozialen 
Netzes sind Beziehungen zu Freunden 
und Bekannten. In Facebook können 
Nutzer diese leicht über die integrierte 
Such- und Einladefunktion aufbauen. 
Sind genug Beziehungen geknüpft, 
kann jeder innerhalb des Freundesnet- 
zes die Aktionen anderer über soge- 
nannte „Status Updates“ verfolgen. Bei 
jedem Upload von Fotos, Videos oder 
dem Editieren von Notizen erhält der 
Freundeskreis eine Nachricht. Und das 
nutzen externe Anwendungen wie Twit- 
ter und del.icio.us, um über Änderungen 
ihrer Datenbasis Auskunft zu geben. 
Sucht man den direkten Kontakt, kann 
man über das interne Mailsystem oder 
über die „Wall“ Nachrichten austau- 
schen. Eine Zusammenfassung aller Ak- 
tionen des eigenen Netzes bekommt 
man über den „News Feed“ angezeigt. 

Die Nutzung all dieser Funktionen 
ist nicht auf das Web beschränkt. Eine 
Anbindung für Mobiltelefone [e, f] 
existiert ebenso wie mehrere Desktop- 
Integrationen. Im Folgenden soll es um 
eine Facebook-Applikation gehen, die 
in der Webversion zur Anwendung 
kommen soll. Zuvor ein kurzer Über- 
blick über die zentralen Bestandteile 
der Oberfläche. 


15 000 Anwendungen 
vorhanden 


Facebook bringt von Haus aus einige 
Anwendungen mit, die sich über die 
linke Navigationsleiste anwählen las- 
sen. Hier sind alle mit kleinen Icons 
auswähl- und konfigurierbar. „Appli- 
cations“ als Menüpunkt führt den Nut- 
zer auf eine Auswahlseite mit allen in- 
stallierten Anwendungen im eigenen 
Profil. Über „Browse More Applica- 
tions“ (siehe Abbildung 1) lassen sich 
weitere Anwendung zum eigenen Pro- 
fil und in die linke Navigation hinzufü- 
gen oder löschen. Momentan (Februar 
2008) sind über das Applikationsver- 
zeichnis mehr als 15 000 Anwendun- 
gen nutzbar. 

Die eigentliche Anwendung kann auf 
ganz unterschiedliche Arten in Face- 
book präsent sein. Im einfachsten Fall 
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Application Directory 


Hug Me 


will you KISS me 


Get it N: 
Natively.com 


v 


Facebooks Anwendungsverzeichnis: Rechts kann man sich 
durch die gesamte Liste „hangeln” (Abb. 1). 


präsentiert sie sich als sogenannte 
„Canvas Page“ in der Mitte der Benut- 
zeroberfläche, großflächig. Anwen- 
dungen dürfen entweder über einen 
externen Aufruf innerhalb eines iframe 
zur Darstellung kommen oder ihre Da- 
ten via Facebook Markup Language 
(FBML) zurückliefern. Einen weiteren 
Anknüpfungspunkt bietet die soge- 
nannte Profilseite, die dem Nutzer als 
zentraler Ort seiner Onlinepräsenz 
dient. Eigene Anwendungen sollten 
nur eine begrenzte Menge ihrer Infor- 
mationen hier anzeigen. Eine ausführ- 
liche Übersicht über die Anatomie ei- 
ner Facebook-Applikation findet sich 
unter [g]. 


Eigener Webspace 
erforderlich 


Entwickler-Applikationen residieren 
nicht bei Facebook, sondern auf einem 
aus Facebook-Perspektive entfernten 
Rechner, der als Callback die nötigen 
Anwendungsdaten übermittelt. Jede 
Anwendung ist innerhalb von Face- 
book über eine eindeutige URL zu er- 
reichen. Über sie wird der Redirect auf 
die eigene Anwendung ausgeführt. Die 
gibt nun ihrerseits Facebook-konfor- 
men Code in die Oberfläche zurück. 
Das führt dazu, dass sich Facebook im 
Ganzen etwas langsamer „anfühlt“ als 
klassische Webanwendungen. 
Entwicklern einer Facebook-Appli- 
kation stehen eine ganze Reihe von 
Techniken zur Verfügung: 
— API: stellt Methodenaufrufe über ei- 
ne REST-Webservice-Schnittstelle zur 
Verfügung, 
— Markup Language (FBML): erlaubt 
den Zugriff auf alle Teile der Face- 
book-Oberfläche, 
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- Query Language (FOL): für den Zu- 
griff auf die Informationsbestandteile 
über eine SQL-ähnliche Anfragesprache, 
— Javascript (FBJS): Script-Einbindung 
in die eigene Anwendung. 

Die folgenden Codebeispiele sollen 
sich nur auf einen kleinen Teil der API 
und der FBML konzentrieren. 

Klassisch beginnen Einführungen in 
Programmiersprachen oder Frame- 
works mit „Hello World“. Es stellt die 
denkbar simpelste Funktion dar, die eine 
Anwendung ausführen kann. Um eine 
ebenso einfache Anwendung für Face- 
book aufzusetzen, ist das folgende, 
schrittweise Vorgehen nötig. Doch be- 
vor es so richtig losgehen kann, ist ein 
eigenes Profil erforderlich. Dieses lässt 
sich von der Homepage aus mit weni- 
gen Angaben einrichten. 

Am Anfang jeder Facebook-Appli- 
kation steht die Seite developers.face 
book.com/get_started.php, die einen lee- 
ren Anwendungs-Container als Start- 
punkt in das eigene Profil einfügt. Über 
„Set Up New Application“ lässt sich 
die erste eigene Anwendung über einen 
maximal 50 Zeichen langen Namen 
konfigurieren. Ist der festgelegt, sollte 
man die Platform Terms bestätigen und 


A-TRACT 


© Im Mai 2007 hat Facebook sein 
soziales Netz für Anwendungen 
geöffnet. 


© Die API für den Zugriff auf 
Facebook arbeitet über REST und 
erlaubt es, Javascript einzubinden. 


@ Mit einer eigenen Auszeichnungs- 
sprache [FBML] liefert Facebook 
spezielle Tags für das Anbinden 
an die Umgebung. 
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Konfiguration der eigenen Facebook-Anwendung - bis hin 
zur Wahl zwischen FBML und iframe (Abb. 2) 


die optionale Parameteransicht aufklap- 
pen und bearbeiten. 

Außer der Entwickler- und Nutzer- 
E-Mail-Adresse, die standardmäßig mit 
der eigenen vorbelegt ist, muss man die 
Callback-URL angeben. Schon an die- 
sem Punkt sollte man sich Gedanken 
über das Hosting der eigenen Applika- 
tion machen. Eigene Facebook-Anwen- 
dungen setzen zwingend eine eigene 
Webpräsenz voraus. Die genauen An- 
forderungen zum Betrieb beschreibt der 
Kasten „Voraussetzung für den An- 
wendungsbetrieb“. 

Nach dem Eintragen aller Formular- 
daten (zuzüglich „Submit“) bekommt 
man den nötigen API-Schlüssel und 
das zugehörige Passwort angezeigt, mit 
denen sich die eigenen Anwendung bei 
Facebook authentifizieren muss. 

Spätestens an dieser Stelle stellt sich 
die Frage nach der Programmierspra- 
che, in der die eigene Anwendung ge- 
schrieben sein soll. Facebook bietet offi- 
ziell nur Client-Bibliotheken für PHP4, 
PHPS5 sowie für Java an. Im Developer 
Wiki [h] gibt es jedoch eine breite 
Unterstützung für viele gängige Pro- 
grammiersprachen und Webframe- 
works. Leider ist an dieser Stelle nicht 
immer Verlass auf die Aktualität der 
Wiki-Einträge. So findet sich unter der 


Log in to the iX Example Application application? 


You will be logged in as Ramon Wartala 
V Allow ix Example Application to access my information 
[” Keep me lagged in to iX Example Application 


+] Log in to iX Example Application izzicı 


Hinzufügen der selbsterstellten 
Anwendung zum eigenen Facebook- 
Profil (Abb. 3) 
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Voraussetzung für den Anwendungsbetrieb 


Ein einfaches Webhosting-Paket der gän- 
gigen Anbieter reicht für die ersten Ex- 
perimente mit der Facebook-Anwendungs- 
schnittstelle aus. Konkret ist ein Webserver 
erforderlich, der mindestens PHP4-Skripte 
ausführen können sollte. Installieren lässt 
sich die Facebook-API mit 


wget hitp://developers.facebook.com/clientlibs/7 
facebook-platform.tar.gz 
tar -xvzf facebook-platform.tar.gz 


Auf Systemen ohne SimpleXML-Biblio- 
thek kann man diese einfach über 
wget http://downloads.sourceforge.net/7 


ister4framework/simplexml44-0_4_A.tar.gz 
tar -xvzf simplexmI44-0_4_A.tar.gz 


nachinstallieren. Sind beide Voraussetzun- 
gen erfüllt, reicht ein normales, PHP-fähi- 
ges Verzeichnis auf dem Webserver aus. 


Rubrik „Ruby on Rails“ immer noch 
der Eintrag zur Client-Bibliothek 
RFacebook. Die Weiterführung dieser 
Bibliothek hat ihr Entwickler Matt 
Pizzimenti jedoch Mitte Januar 2008 
eingestellt. Von Chat Fowlers alterna- 
tıivem Bibliothek Facebooker [i] er- 
fährt der Interessierte erst ganz am En- 
de der entsprechenden Wiki-Seite. 


Ausgangspunkt: Die 
Klasse Facebook 


Im Folgenden soll die offizielle PHP-Bi- 
bliothek von Facebook zum Einsatz 
kommen, da sich damit die ersten Geh- 
versuche einfach gestalten. Ausgangs- 
punkt der PHP-Bibliothek ist die Klasse 
Facebook, die den Zugang und die nöti- 
gen API-Aufrufe kapselt und an die API 
weiterleitet (siehe Listing 1). 

Zeile 6 generiert eine Instanz der 
Wrapper-Klasse Facebook. Zeile 15 
gibt die Begrüßung an den Benutzer 
aus. Der Tag <fb:name> ist Bestand- 
teil von Facebooks Markup Language. 


Möchte man die eigene Anwendung der 
breiten Nutzerschar im Facebook-eigenen 
Applikationsverzeichnis zur Verfügung 
stellen, benötigt man mindestens fünf Nut- 
zer, die die eigene Anwendung einsetzen. 
Was sich als einfache Einstiegshürde er- 
weist, hat in der Praxis ihre Tücken. So 
kann es vorkommen, dass viele Tausend 
Nutzer die eigene Anwendung einbinden, 
den eigenen Webserver und die eventuell 
limitierte Bandbreite und Traffic über 
Nacht ins Wanken bringen. Was wiede- 
rum die Facebook-Plattform mit Fehler- 
meldungen bestraft, da sie keine Antwort- 
zeiten von mehreren Sekunden Länge 
toleriert. Mittlerweile existieren jedoch 
schon etliche Lösungen von Anbietern, die 
spezielle Facebook-Hosting-Services über- 
nehmen (beispielsweise joyent.com/devel 
opers/facebook). 


Echtes HTML ist an dieser Stelle nur 
eingeschränkt möglich. Ist diese „Hello 
World“-Anwendung im Internet erreich- 
bar, ruft der Webbrowser des Nutzers 
sie durch die eigentliche Facebook-Um- 
gebung über die Callback-URL auf, 
die an die Facebook-Oberfläche das zu- 
gehörige FBML zurückliefert. 

Zum Prüfen der Anwendung kann 
entweder die Callback-URL oder die 
registrierte Facebook-URL dienen. Ver- 
gleicht man die zurückgegebenen Infor- 
mationen, wird schnell Klar, was FBML 
im Kern tut. Die Tags werden gefiltert, 
ausgewertet und mit Daten und Styling 
versehen. Einen Überblick über alle 
FBML-TAGs findet sich im Entwick- 
ler-Wiki [j]. Grob lassen sich die Tags 
in folgende Gruppen sortieren: 

— Social Data Tags: Anzeige und For- 
matierung von Informationen im sozi- 
alen Netz, 

— Sanitization Tags: Einbindung exter- 
ner Browser-Objekte wie Flash, Silver- 
light oder einfache MP3-Dateien, 

— Design Tags: Anpassung des Aus- 
sehens der eigenen Anwendung im 
Facebook-Styling, 


Listing 1: Hello World 


1 
2 
3 
4 
5 
6 
k 
7 
8 


10 
11l 


<’php 
I* Facebook Client-Bibliothek einbinden */ 
require_once("facebook.php'); 


$facebook = new Facebook ("XXXXKALKKOK , RRREORERORROO 


I* Ein eingeloggter Benutzer ist noetig, bevor die Anwendung genutzt 


werden kann. Ist der Benutzer nicht eingeloggt, wird ihn 
eine Login-Aufforderung praesentiert 


12 $fb_user = $facebook->require_login(); 


13» 
14 


15 Hallo iX-Leser <fbinane wid='<?php echo $fb_user; 9" 
16 useyou='false' possessive="true" /> und herzlich willkommen bei 
17 Ihrer ersten Facebook-Applikation! 
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—Komponenten-Tags: Einsatz 
bekannter Facebook-Muster 
in eigenen Anwendungen wie 
die Kommentarfunktion, 

— Kontroll-Tags: Kontrolle 
über bestimmte Informationen. 


Damit sich Informationen per FBML 
darstellen lassen, müssen Anwendungen 
diese über die Facebook-API abfragen. 
Dazu stehen eine Reihe von Methoden 
zur Verfügung [k]. Listing 1 enthielt 
schon die API-Funktion require_login(). 
Dass Facebook darüber hinaus mächti- 
gere Aufrufe parat hält, demonstriert 
Listing 2. Über die friends.get-Funk- 
tion kann man ein Array des gesamten 
eigenen Freundeskreises erstellen. 

Zeile 1 ruft die API-Funktion auf 
und liefert eine Liste der Nutzer-IDs 
(UID) zurück. Über diese UID lassen 
sich eine Menge Informationen abru- 
fen. Exemplarisch sei in Zeile 5 die 
API-Funktion users.getInfo mit der 
UID aufgerufen, die in diesem Fall das 
Bild der Freundin oder des Freundes 
als Image-URL liefert und mit dem Na- 
men als Liste ausgeben kann. 

Ganz im Sinne der Remix- und Mash- 
up-Kultur lassen sich externe Quellen 
ebenfalls anzapfen und in der eigenen 
Facebook-Anwendung darstellen. Lis- 
ting 3 bindet die freie MagpieRSS-Bi- 
bliothek [c] ein, um einen Atom-News- 
feed abzurufen und darzustellen. 

Zeile 17 holt den Atom-Feed und 
baut in den folgenden Zeilen das Lay- 
out für die einzelnen Nachrichten auf. 
Bei diesem Codebeispiel sind CSS-At- 
tribute für das Aussehen der Informa- 
tionen eingebettet. 

Nach den ersten Schritt stellt sich 
schnell die Frage nach einem Style- 
guide für Facebook. In den offiziellen 
FAQ [14] findet sich dazu ein minimaler 
Abschnitt, der Farbcodes für Überschrif- 
ten, Hintergrundfarben, Boxen und Li- 
nien aufführt und Größenbeschränkun- 
gen der einzelnen Anwendungspunkte 
beschreibt. Offizielle Werkzeuge [m], 
mit denen man API-Aufrufe und FBML- 
Tags testen kann, sollen das Leben des 
Facebook-Entwicklers vereinfachen. 


Für wen Facebook 
wertvoll ist 


Jenseits der immer absurderen Schät- 
zungen über den wahren Wert von Face- 
book stellt sich die Frage, warum über 
60 Millionen aktiver Nutzer weltweit 
auf dieser Plattform über 15 000 3rd- 
Party-Anwendungen nutzen. 

Drei Nutzergruppen lassen 


1 $fb_friends = $facebook->api_client->friends_get(); 
2 echo "<div style="padding: 10px;'>\n"; 

3 echo "<hl>Liste meiner Freunde:</h1>\n"; 

4 foreach ($fb_friends as $friend) { 


5 
} echo "sing sre="".$photoLOJE'pie!]."" I>"; 
7 echo "<fbinane uid="".$friend."' /> <br />\n"; 
8) 

9 echo "</div\n"; 


Listing 2: Liste aller Freunde mit Bildern 


$photo = $facebook->api_client->users_getInfo($friend, 'pic'); 


sich auf Facebook identifizieren: 
als erste die der reinen Anwen- 
der, die über Facebook ihre 
Freundschaften pflegen, Fotos 
hochladen, Notizen online stel- 
len und sich über den Status der 
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Webprogrammierung || 


Listing 3: Feedreader der iX-News 
innerhalb des Facebook-Canvas 


<?php 

I* Facebook Client Bibliothek einbinden #/ 
define("MAGPIE_OUTPUTLENCODING', "UTF-8"); 
require_once("facebook.php'); 
require_once('rss_fetch.inc'); 


$facebook = nem Facebook! XKAXKAKRERKOK , RRRRROROKROR 


wsonuoawu-wn— 


10 I* Eingeloggter Benutzer noetig vor Anwendungsstart.. 
11 Sonst folgt eine entsprechende Login-Aufforderung 
12 #l 


13 
14 $fb_user = $facebook->require_login(); 


15 

16 $feed = 'http://unm.heise.de/ix/neus/neus-aton.xml'; 

17 $rss = Afetch_rss($feed); 

18 echo "<div>\n"; 

19 echo "<img sre="http://unw.heise-medien.de/bilder/logos/ix.gif' />\n"; 
ii echo "</div\n"; 

1 

22 foreach ($rss->itens as $iten ) { 

23 echo "<div style='padding-Left:10px;border-bottom-width: px; 
border-bottom-style:solid;border-botton-color:#385998; ">"; 

24 $title = $itenl"title"]; 

12) $url = $itenl"id"]; 

2% $updated = $itenl"updated"]; 

27 $sunmary = $itenl"sunmary"]; 

28 echo "<p><a href=\"$url\">",$title,"</ar</p>\n"; 


2 echo "<p style="font-size:9px;font-stylesitalic;'>".Supdated."</p>\n"; 


30 echo "</div\n"; 


Networks r 


Medikamente 


günstiger? 


© 


edP 


der Beacon-Funktion für gezielte 
Werbung (en.wikipedia.org/wiki/ 


eigenen Kontakte informieren. Zum an- 
deren der Betreiber der Plattform sel- 
ber, dessen Wert sich logischerweise an 
den Nutzerzahlen orientiert. Nicht zu- 
letzt, weil Facebook einen Teil der Sei- 
ten mit klassischer Onlinewerbung ver- 
sehen hat. 

Um der Werbewirtschaft die Anspra- 
che relevanter Zielgruppen auf einfache 
Weise zu ermöglichen, kündigte Face- 
book im November letzten Jahres das 
sogenannte Targeting (die gezielte Aus- 
lieferung von Onlinewerbung) auf die 
Profile der Nutzer an. Schaut man sich 
diese heiß (www ..spiegel.de/netzwelt/ 
web/0,1518 ,druck-519295,00 .html) dis- 
kutierten Möglichkeiten etwas genauer 
an (blog.nugg.ad/de/2007-11-10/face 
book-targeting-womit-eigentlich/), bleibt 
nicht viel mehr als das Auffinden von 
Altersklassen und dem Geschlecht der 
Nutzer, deren Angabe aber beliebig 
falsch sein kann. 

Als dritte Gruppe verfolgt eine gro- 
ße Zahl von 3rd-Party-Entwicklern we- 
nigstens zwei Ziele auf Facebook: 

1. Ihr eigenes Angebot bekanntma- 
chen, um möglichst viele Nutzer bei 
Facebook „abzuholen“. Steuert der Nut- 
zer den 3rd-Party-Dienst an, kann dieser 
seine Leistungen monetarisieren lassen. 

2. Anwendungen für Werbekunden 
wie Spiele (Advergames) erstellen, die 
die Marke des Werbenden und seine 
Bekanntheit steigern. 

Facebook selber ist in der schwierigen 
Position, alle Nutzergruppen berücksich- 
tigen zu müssen. An Neuerungen wie 
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Beacon_%28Facebook%29) wur- 
de in der Vergangenheit allerdings er- 
sichtlich, wie schwierig sich neue Ver- 
marktungsansätze etablieren lassen. Je 
mehr Nutzer es sind und je länger sie 
Facebook als virtuellen Aufenthaltsort 
nutzen, desto mehr interessiert sich die 
Werbewirtschaft für diesen Standort. 


Fazit 


Die Nutzer- und Anwendungszahlen 
auf Facebook sprechen eine deutliche 
Sprache. Es ist der Firma ganz offen- 
sichtlich gelungen, eine Plattform für 
ihre Nutzer und für externe Entwickler 


Der iX-Newsfeed findet sich innerhalb von Facebook links im Menü - 
und hier rechts nach dem Klick (Abb. 4). 


attraktiv zu gestalten. Für Website-Be- 
treiber ist alleine die Anzahl potenziel- 
ler Nutzer so interessant, dass einige si- 
cherlich die damit verbundenen Risiken 
(siehe Kasten) auf sich nehmen wer- 
den. Bleibt für Entwickler nur zu hof- 
fen, dass Werkzeuge nicht allzu lange 
auf sich warten lassen, die es ermög- 
lichen, Anwendungen für beide APIs 
zu erstellen. (hb) 


RAMON WARTALA 


ist |T-Leiter beim Hamburger Online- 
vermarkter orangemedia.de GmbH. 
Er ist Koautor des Buches „Webanwen- 


dungen mit Ruby on Rails", das 2007 
bei Addison-Wesley erschienen ist. 
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wiki.developers.facebook.com/index.php/Main_Page 
facebooker.rubyforge.org/ 
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Versionsverwaltung 


Subversion 1.5: 


Mehr als nur der CVS-Nachfolger 


Sprung nach vorn 


Kai Gellien, Andreas Leibl 


Die neue Version 1.5 bereichert das zentralistische Subversion 
um Features, die man von verteilten Versionsverwaltungen 
kennt. Im vergangenen Oktober konnten sich die Teilnehmer 
der Subversion-Konferenz bereits die kommende Release 
ansehen, nun steht die Alpha-Version zum Download bereit. 


ut zwei Jahre nach der Freigabe 
G von Subversion 1.3 steht Ver- 
sion 1.5 ins Haus. Mit der offi- 
ziellen Freigabe ist im Laufe des April 
zu rechnen. Nachdem Version 1.4 eher 
unspektakulär war und sich mehr der 
Produktpflege widmete, ist die 1.5er- 
Ausgabe wieder eine sogenannte Fea- 
ture-Release. Nach Angaben der 1999 
gegründeten Firma Collabnet, Haupt- 
sponsor des Open-Source-Projekts, 
handelt es sich um die größte Release 
seit der Version 1.0 [1]. 
Natürlich verfolgt Collabnet auch 
kommerzielle Interessen. Zum einen 
bietet die Firma Dienstleistungen rund 
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um die freie Version von Subversion 
an und hat daneben eigene Software 
für kommerzielle Nutzer im Angebot, 
die auf der freien Version basiert. Zur 
eigenen Collabnet Enterprise Edition 
kauften die Kalifornier im vergangen 
Jahr die Sourceforge Enterprise Edi- 
tion, die kommerzielle Ausgabe der 
beliebten Open-Source-Plattform, von 
VA Software hinzu. 

Subversion (SVN) hat man mit dem 
erklärten Ziel entwickelt, ein „besseres“ 
CVS (Concurrent Versions System) zu 
implementieren. Wichtig war, ein ähnli- 
ches Look & Feel zu bewahren, um der 
großen Gemeinde der CVS-Nutzer den 


Umstieg zu erleichtern. Verbessert wur- 
den zuerst die Stellen, an denen CVS die 
größten Defizite aufwies, beispielsweise 
Branching und Tagging sowie die Ver- 
waltung von Verzeichnissen. Beim Mer- 
ging, also dem Kopieren von Änderun- 
gen zwischen Entwicklungszweigen, 
mag Subversion zwar besser sein als 
CVS. Verteilten Versionsverwaltungs- 
systemen war es in diesem Bereich je- 
doch unterlegen. Diese haben auf- 
grund ihrer Architektur, sozusagen 
von Natur aus, die Nase vorn. Kom- 
merzielle Systeme wie Clearcase bie- 
ten in diesem Bereich ebenfalls mehr. 
Insbesondere Enterprise-Kunden, die 
migrieren, möchten auf solche Features, 
an die sie gewöhnt sind, nicht verzich- 
ten. Diese Lücke soll Subversion nun 
schließen. 

Dies ist insofern notwendig, als Sub- 
version zwar weiter starken Zulauf er- 
fährt — Anfang Februar gab es über 
220 000 öffentliche Apache-Server, die 
per WebDAV Zugang zu Subversion- 
Repositories boten -—, aber dennoch 
schon einige wenige, aber prestige- 
trächtige Projekte an verteilte Versions- 
verwaltungssysteme verloren hat. So 
hat sich etwa das Mozilla-Team dafür 
entschieden, sein in die Jahre gekom- 
menes CVS eben nicht durch den eta- 
blierten Nachfolger, sondern durch 
Mercurial(Hg) zu ersetzen. 


Transaktionen replizieren 
und kompakter speichern 


Mit svnsync lässt sich ein (Master-)Re- 
pository in eine (beliebige) Anzahl von 
Read-Only-Kopien replizieren. Nütz- 
lich ist svnsync etwa für Back-Up-Zwe- 
cke oder — bei (international) verteilter 
Entwicklung — um auch bei Netzausfall 
ein Repository zum Auschecken für 
den Build zur Verfügung zu haben. In 
der Regel sind Lesezugriffe auf das Re- 
pository häufiger als Schreibzugriffe, 
sodass svnsync außerdem der Lastver- 
teilung dienen kann. 

Bemerkenswert ist, dass alle drei Be- 
teiligten, Quell- und Ziel-Repository so- 
wie svnsync selbst, auf verschiedenen 
Computern laufen können, da snvsync 
über die Subversion-API Transaktionen 
ausliest und wieder einspielt, statt ein- 
fach nur Daten zu kopieren. Letzteres 
könnte auch ein Programm wie rsync, 
der Transaktionsansatz ist aber robuster, 
vor allem bei nicht allzu verlässlichen 
Netzverbindungen. 

Da man typischerweise aus einem 
Repository nicht nur lesen, sondern auch 
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hineinschreiben möchte, kommt der 
neue WebDAV Write Through Proxy 
gerade recht. Er ermöglicht es Entwick- 
lern, die Apache-gestützte Repositories 
betreiben, (am replizierten Repository 
vorbei) direkt in das Master-Repository 
zurückzuschreiben, um diese Änderung 
anschließend zurückzureplizieren. Die 
Realisierung dieses Features in svnserve 
wäre — so die Auskunft der Entwickler 
— zu aufwendig gewesen. Da bei den 
meisten Systemen, für die ein Write 
Through interessant ist, sowieso der bes- 
ser skalierende Apache installiert ist, hat 
man auf einen svnserve Write Through 
Proxy vorläufig verzichtet. 

Für ein kompakteres Repository sor- 
gen die Verbesserung des binären Del- 
ta-Algorithmus und die komprimierte 
Speicherung der „delta-chunks“. Um für 
bestehende Repositories in den Genuss 
der neuen Schlankheit zu kommen, 
müssen die Anwender sie zuerst auf die 
Platte speichern und anschließend in die 
mit dem neuen Subversion erzeugten 
Repositories einspielen. 

Im Test wurde dies beispielhaft an ei- 
nem Repository mit über 1000 Dateien 
(Sourcecode und Binaries wie Excel) 
und über 600 Revisions durchgeführt. 
Die Größe des Repository schrumpfte 
von gut 13 MByte auf etwa 9 MByte. 
Damit lag die Platzersparnis in diesem 
konkreten Fall bei circa 30 Prozent. 


Verwalten 
jenseits von CVS 


Windows-Anwender nehmen sicherlich 
dankbar zur Kenntnis, dass svnserve 
nun als Windows Service zur Verfü- 
gung steht. Dadurch spart man sich ei- 
nige Klimmzüge bei der Einrichtung 
eines Subversion-Servers. 

Spätestens mit der in einem früheren 
iX-Artikel [2] besprochenen Version 1.3 
haben die Entwickler ihr Ziel - die Ab- 
lösung von CVS - erreicht. Das zeigen 
auch Nutzungsstatistiken von Collabnet. 
Subversion ist plattformübergreifend 
wie der Vorgänger und hat einen ver- 


gleichbaren Funktionsumfang, der zu- 
dem um einige Freatures wie WebDAV 
erweitert wurde. Das alles sowie eine an 
CVS angelehnte Bedienung machten 
den Umstieg leicht. Die breite Tool- 
Unterstützung und die Aufnahme in 
IDEs wie Eclipse taten ein Übriges. 
Doch nur ein besseres CVS zu bieten, 
genügte den SVN-Entwicklern auf die 
Dauer nicht. Deshalb veranstaltete 
Collabnet — Arbeitgeber einiger der 
Kernentwickler — Anfang 2006 ein 
Treffen mit Firmenkunden, um deren 
Hauptanforderungen herauszuarbeiten. 
Im Gegensatz zu vielen Open-Source- 
Projekten haben diese Kunden oft vie- 
le, teilweise langlebige Branches, bei- 
spielsweise für aufeinanderfolgende 
Versionen ihrer Software. Ältere 
Releases bleiben oft über Jahre in der 
Wartung, und Patches für Fehler oder 
Sicherheitsprobleme muss man für meh- 
rere Ausgaben portieren. Von Zeit zu 
Zeit werden auch neue Features in äl- 
tere Releases rückportiert, sodass die 
Programmierer Entwicklungszweige 
regelmäßig abgleichen müssen. Davon 
sind häufig viele Dateien betroffen. 


Merge Tracking erfüllt 
Wünsche 


Wenn die Versionsverwaltung keine 
Unterstützung für das Tracking dieser 
Merge-Vorgänge bietet, bleibt einem 
Entwicklerteam nur die Option, selbst 
genau Buch darüber zu führen. Denn 
weder will man eine Änderung unab- 
sichtlich auslassen, noch einen Merge 
doppelt ausführen. Unter Umständen ist 
auch die Beweisbarkeit von Modifika- 
tionen („Audit Trail“), von Bedeu- 
tung. Deshalb stand Merge-Tracking 
ganz oben auf der Wunschliste der 
(zahlenden) Kunden. 

Bevor Merge Tracking in Subversion 
aufgenommen wurde, bot ein Python- 
Skript externe Unterstützung. Dies war 
gleichzeitig ein Test für das Konzept, 
solche Merges über Properties zu pro- 
tokollieren. Merge Tracking in Subver- 


Wichtige neue 
Features in Subversion 


Neu in SVN 1.4 


— kompakteres Repository-Format spart 
Plattenplatz 

— svnserve nun auch als Windows 
Service 


— synsync erlaubt sicheres Spiegeln von 
Repositories 


Neu inSVN 1.5 
— WebDAV Write Through Proxy 


— Merge Tracking vereinfacht die Ver- 
waltung mehrerer Entwicklungslinien 

— Change Sets und Cherry Picking 
unterstützen bei der Portierung von 
Patches 

— Sparse Directory Support ermöglicht 
ein fein granulareres Auschecken von 
Teilen eines Projekts 


sion 1.5 entspricht im Wesentlichen der 
Funktion dieses Skripts, ist aber fein- 
granularer und ermöglicht es, nur eine 
Auswahl von Änderungen zu überneh- 
men (Cherry Picking). 

Die Merge History dient unter ande- 
rem dazu, doppelte Merges zu vermei- 
den. Kollidieren die Änderungen eines 
Entwicklungszweiges mit denen im 
Ziel-Branch, erkennt der Subversion- 
Client dies, bevor ein Commit die Än- 
derungen zurückschreibt. Der Benutzer 
kann in einem solchen Fall das Problem 
interaktiv lösen. Je nach Umgebung ge- 
schieht das in einem GUI-Tool (etwa 
mit Collabnets GUI Merge Client) oder 
auf der Kommandozeile. 

Die bisher implementierten Features 
sind aber erst der Anfang. Für Nachfol- 
geversionen haben die Entwickler wei- 
tere Funktionen geplant, unter anderem 
„blocking of changes“, diverse Audi- 
ting- beziehungsweise Reporting-Funk- 
tionen sowie die Behandlung zykli- 
scher Merges. 

Oft arbeiten Entwickler an mehreren 
Tasks gleichzeitig. Change Lists erlau- 
ben es, die bearbeiteten Dateien unter ei- 
nem Namen zusammenzufassen und auf 
diese Liste Operationen wie Commits 
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Versionsverwaltung 


oder Vergleiche zu anderen Versionen 
durchzuführen. syn status listet die Zu- 
gehörigkeit zu Change Lists optisch gut 
getrennt auf. 

Die Zugehörigkeit zu einer Change- 
list wird aber nur lokal gespeichert und 
anders als andere Dateiattribute nicht im 
Repository abgelegt. Auch geht die In- 
formation bezüglich der Zugehörigkeit 
zu einer Change List nach einem Com- 
mit verloren. Des Weiteren kann eine 
Datei nur zu maximal einer Change List 
gehören. 

Dieses Feature wurde stark von den 
Funktionen inspiriert, die Perforce bie- 
tet, und an das deutlich andere Netz- 
werkmodell von Subversion angepasst. 


Checkout auch 
einzelner Ebenen 


Eine andere Möglichkeit, mit Änderun- 
gen in Teilprojekten umzugehen, ist ein 
Checkout lediglich der Teilbäume, an 
denen man selbst arbeiten will. Ab Ver- 
sion 1.5 geht dies feingranularer dank 
des neuen Sparse Directory Supports. 

Die Arbeiten am Sparse Directory 
Support — auch als Workspace Manage- 
ment bezeichnet — vertrugen sich nicht 
gut mit den Arbeiten am Merge Tra- 
cking. Die Überschneidung der Codebe- 
reiche erschwerten das Debugging und 
waren mit verantwortlich für die erheb- 
lichen Verzögerungen bei der Freigabe 
der Version 1.5. 

Wie schon in den vorherigen Versio- 
nen sind sowohl der 1.5er-Client als 
auch der Server rückwärtskompatibel. 
Zwar lassen sich nur dann alle Features 
nutzen, wenn beide Seiten auf dem 
letzten Stand sind, trotzdem wirft der 
Betrieb mit gemischten Versionen kei- 
ne Schwierigkeiten auf. Dieses Kompa- 
tibilitätsversprechen soll für alle kom- 
menden 1.x-Releases gelten. Erst bei 
einem Wechsel der Nummer vor dem 
Punkt ist mit einem Bruch zu rechnen. 

Auf den Zeitplan für eine 2.0-Release 
angesprochen, reagierten die Projekt- 
verantwortlichen ausweichend. Es gibt 
wohl interne Diskussionen darüber, wie 
eine solche Version aussehen könnte, 
konkrete Pläne bestehen aber noch 
nicht. Die Einserlinie wird also wohl 
noch einige Jahre fortgeführt. Innerhalb 
dieser Linie soll es, wie beim Umstieg 
auf 1.5, Online-Migrationspfade geben. 
Nur wer das Backend wechseln (Daten- 
bank oder Dateisystem), umorganisieren 
oder kompaktere Formate nutzen möch- 
te, muss das Repository auf die Platte 
schreiben und wieder einspielen. 


Fazit 


Subversion wächst aus der Rolle des 
CVS-Nachfolgers heraus und schickt 
sich an, neue Nutzergruppen zu er- 
schließen. Das aktuelle Release dürfte 
vor allem kommerzielle Anwender be- 
eindrucken, aber auch im Open-Source- 
Umfeld werden die neuen Features si- 
cherlich Anklang finden. Zudem ist die 
Integration in Entwicklungsumgebun- 
gen wie Eclipse oder Apples Xcode in- 
zwischen praktisch komplett. 

Mit dem Merge Tracking beschreitet 
Subversion neue Wege und versucht, 
die besten Features der verteilten Ver- 
sionsverwaltung in sein zentralistisches 
Modell zu integrieren. Das aktuelle 
Release ist ein erster Schritt, in den Fol- 
geversionen müssen die Entwickler be- 
legen, ob sie ihre großen Ziele erreichen. 

Die Zeit dürfte zeigen, inwieweit es 
gelingt, den Vorsprung vor den verteil- 
ten Versionsverwaltungssystemen zu 
halten. Der Abstand verringert sich nicht 
zuletzt dadurch, dass die Integration ver- 
teilter Versionsverwaltungssysteme in 
IDEs wie Eclipse besser wird und ande- 
re Bereiche wie Build Management so- 
wie Continuous Integration folgen. Mo- 
mentan hat hier Subversion aber noch 
deutlich die Nase vorn. (ka) 
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Mini-Notebook 


Berufliche Eignung des preiswerten 


Eee PC AG von Asus 


Leicht befunden 


Martin Schmitz 


Bei einem Notebook, das ohne Festplatte auskommt 

und weniger als 300 Euro kostet, drängt sich die Frage 
auf, ob es sich nur um ein Spielzeug handelt oder ob man es 
für berufliche Anwendungen gebrauchen kann und wenn, für welche. 


or der Markteinführung des Eee 
V* 4G von Asus in Deutschland 

entwickelte sich im Internet be- 
reits ein Hype um das kleine und preis- 
werte Gerät. Die drei „E“ im Namen 
stehen für „Easy to Learn, Work, and 
Play, Excellent Internet Experience, 
Excellent On-the-Go“. Was steckt da- 
hinter, und ist der kleine Alleskönner 
vielleicht sogar für den professionellen 
Einsatz geeignet? 

Zunächst zu den technischen Details: 
Easy stimmt auf jeden Fall, was Ge- 
wicht und Größe angeht: Der Eee PC 
wiegt etwas weniger als 1 kg und misst 
225 x 165 x35 mm, braucht somit kaum 
mehr Grundfläche als ein DIN-A5-Blatt. 
In das durchaus solide gearbeitete Gerät 
hat Asus als Prozessor einen 900 MHz 
schnellen Celeron 353 ULV und als 
Chipset den 910 GML eingebaut, beide 
von Intel. Zur Grundausstattung des Eee 
PC 4G gehören 512 MByte DDR2- 
RAM, eine 4 GByte große Flash-Disk 
und ein 7-Zoll-LCD als Bildschirm. 

Das mutet auf den ersten Blick recht 
wenig an. Aber das vorinstallierte Be- 
triebssystem, basierend auf der Linux- 
Distribution Xandros 4.0, fährt dank der 
Flash-Disk zügig und lautlos hoch. Der 
Widescreen mit einer Auflösung von 
800 x 480 überrascht durch seine gut 
lesbare Darstellung. Zur weiteren Aus- 
stattung gehören drei USB-2.0-Ports, 
WLAN, LAN- und Modem-Anschluss, 
Monitorausgang und SD-Steckplatz 
sowie eine integrierte 0,3-Megapixel- 
Kamera. Es fehlt somit nur ein opti- 
sches Laufwerk, was man aber ange- 
sichts des geringen Gewichts durchaus 
akzeptieren kann. 

Asus hat weitere Varianten im Pro- 
gramm, die aber in Deutschland (noch) 
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nicht erhältlich sind, etwa der Eee PC 2G 
mit halb oder der Eee PC 8G mit doppelt 
so großer Flash-Disk. Auf allen Model- 
len lässt sich Windows XP nachinstallie- 
ren, eine mehrseitige Anleitung ist dabei. 


Umfangreiches 
Angebot an Software 


Asus liefert den Eee PC 4G mit Open- 
Source-Software aus, die in einer anspre- 
chenden Bedienoberfläche integriert ist. 
Laut Asus sind 40 Anwendungen vorin- 
stalliert; eine kurze Suche über ein Smi- 
ley-Icon in den Eee-PC-Tipps oder im 
Internet führt schnell zu den nicht von 
der Oberfläche aus erreichbaren Pro- 
grammen aus der KDE-Familie. 

Die Anwendungen sind in sechs 
Tabs für Internet, Arbeit, Lernen, Spie- 
len, Einstellungen und Favoriten einge- 
ordnet. Mit der Bedienoberfläche kom- 
men selbst Linux-Unkundige intuitiv 


Eee PC AG Sub-Notebook 


Hardware: Celeron 353 ULV, 900 MHz; 

512 MByte DDR2-SDRAM; 4 GByte Flash-Disk; 
Chipsatz: 910 GML (Intel); 800 x 480 VGA; 
WIAN; drei USB 2.0; 10/100-MBit-LAN-, 
Monitor-Anschluss; SD-Card-Slot; 

Kamera, 320x 240 Pixel; Mikrofon, integrierte 
Lautsprecher 

Software: Linux-Distribution Xandros, 

von Asus adaptiert; Open-Source-Software 
Zubehör: Netzteil, Handbuch, Recovery-DVD, 
Neoprentasche, Akku [vier Zellen] 


Hersteller: Asus (de.asus.com) 
Preis: 299 Euro inkl. MwSt. 


zurecht. Einen Großteil des 4 GByte 
großen Flash-Speichers nimmt das Be- 
triebssystem ein. Zur Installation zu- 
sätzlicher Softwarepakete bleibt dem 
Nutzer circa 1 GByte, das sich jedoch 
mit einer zusätzlichen SD-Speicherkarte 
leicht erweitern lässt. 

Für berufliche Einsätze stellt der Eee 
PC unter Linux mit Open Office, Acro- 
bat Reader, Firefox und Thunderbird 
alles Benötigte bereit. Sogar Skype ist 
vorbereitet und lässt sich mit den inte- 
grierten Komponenten Kamera, Mikro- 
fon und Audio-Ausgang respektive 
Lautsprechern rechts und links des Bild- 
schirms nutzen. Die Akkulaufzeit soll 
laut Asus bei 2,8 bis 3,5 Stunden lie- 
gen, dürfte aber unter WLAN-Dauer- 
last kürzer ausfallen. 

Freundet man sich mit der kleinen 
und nicht ganz leichtgängigen Tastatur 
an, ist der Eee PC 4G für 299 Euro 
brutto eine Anschaffung wert, die sich 
durchaus für den Zugang zum Internet 
und für kleine Office-Arbeiten unter- 
wegs eignet. Vor allem passt es mit sei- 
ner geringen Größe und dem niedrigen 
Gewicht immer noch ins Gepäck. In- 
zwischen hat der Eee PC sogar seine 
eigenen Sites, zum Beispiel: www.ein 
facheee.de. Asus’ Eee PC 4G gefällt als 
kompaktes und preiswertes Subnote- 
book wegen seiner hohen Mobilität 
und seiner ausreichenden Grundaus- 
stattung: die kleine Alternative für den 
Job (eeepc.asus.com). (rh) 


MARTIN SCHMITZ 


ist Ingenieur im Bereich Anwendung 
und Entwicklung von präzisen 
Satelliten-Positionierungs- und 
Navigations-Systemen. IR 
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Embedded Systems 


derby) handelt es sich um das 

ehemals kommerzielle Produkt 
Cloudscape der gleichnamigen Firma. 
IBM übernahm sie und schenkte die 
Software der Apache-Foundation, die 
sie inzwischen unter ihrer Lizenz frei- 
gab. Die Entwicklung von Cloudscape 
gehört eng zur Entstehung von Java 
und JDBC, da es seit 1996 vollständig 
in Java geschrieben ist. Große Auf- 
merksamkeit erlangte Derby, als Sun 
es als JavaDB mit dem JDK 6.0 aus- 
lieferte. IBM will den Support für das 
Einzelprodukt Cloudscape 10.1 ab 
September 2008 einstellen und unter- 
stützt dann nur noch Derby. 

Bereits mit der Vorgänger-Version 
10.3.1.4 erhöhten sich die Anforderun- 
gen an die Laufzeitumgebung auf J2SE 
1.4 beziehungsweise J2ME/CDC/Foun- 
dation-Profil 1.1. Wer trotzdem noch 
die älteren Versionen einsetzen möch- 
te, die auch Sun nicht mehr wartet, 
kann 10.2.2 verwenden. 


Wenig Platz, 
leicht integrierbar 


B ei Apache Derby (db.apache.org/ 


Java vererbt Derby seine Vor- und 
Nachteile. So ist die Datenbank auf al- 
len Plattformen mit passender JVM 
verfügbar und getestet. Die Perfor- 
mance und der Ressourcenverbrauch 
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verbesserten sich zwar von Version zu 
Version, hängen jedoch von der Güte 
der JVM-Implementierung ab. Intern 
setzt Derby eine SQL-Abfrage in Java- 
Bytecode um. Ihn kann die JVM wiede- 
rum mit ihren Mitteln optimieren. 

Stärken von Derby sind sein geringer 
Platzbedarf (2 MByte auf der Platte, den 
der in Java integrierte Pack200-Algo- 
rithmus auf 600 KByte reduziert) und 
die einfache Integrierbarkeit in andere 
Produkte. So gehört es zu vielen Apa- 
che-Produkten (Geronimo, ActiveMQ, 
James, Jetspeed-2, Roller) und IBM- 
Software (Eclipse, Websphere Applica- 
tion Server) — oft unbemerkt. 


Verwaltung mit API 
und Kommandozeile 


Zur Verwaltung der Datenbank stehen 
ein Programmier-API und ein Komman- 
dozeilenwerkzeug zur Verfügung. So 
lassen sich Datenbankaufgaben bei der 
Entwicklung zum Beispiel mit Ant auto- 
matisieren. Wer jedoch eine grafische 
Oberfläche vermisst, dem helfen das 
Open-Source-Werkzeug SquirrelSQL 
und die Report-Funktion von Open- 
office weiter. Entwickler können die 
Data-Tool-Plattform von Eclipse nutzen, 
in die Derby als Standard-Datenbank in- 
tegriert ist. So lassen sich einfach Tabel- 
len anlegen und Daten abfragen. 


Embedded Datenbank Derby 10.4 


Schlanker 
Speicher 


Frank Pientka 


Die Datenbank Derby ist so 
klein, dass sie auch in mobilen 
Geräten läuft. Version 10.4 des 


von der Apache-Foundation 
betreuten Produkts bringt unter 
anderem Kompatibilität mit JDBC 4.0 
und XML-Verarbeitung. 


Für den Betrieb im Einzelplatz-Mo- 
dus ist nur eine Jar-Datei (derby.jar) im 
Klassenpfad erforderlich. Zur Aktuali- 
sierung genügt der Austausch dieser 
Jar-Datei. Möchte man auch die Daten- 
bankdaten in das Format der neueren 
Version konvertieren, was Vorausset- 
zung etwa für die Verwendung des 
XML-Datentyps ist, gibt man das beim 
Verbindungsaufbau an: 


connect 'idbc:derby:toursdb;upgrade=true' 


Die Umwandlung erfolgt dadurch auto- 
matisch und transparent, und anschlie- 
ßend lassen sich neuere Funktionen 
und Datentypen benutzen. Gerade was 
die Verwendung nicht relationaler Da- 
ten betrifft, bietet die neue Derby-Ver- 
sion mit dem XML-Datentyp und dem 
virtuellen Tabellen-Interface (VTI) gu- 
te Integrationsmöglichkeiten. VTI er- 
laubt das Anbinden und Bearbeiten ex- 
terner Quellen wie Datenbanken und 
Dateien mit SQL. Derby selbst nutzt 
VTI etwa zum Speichern interner Da- 
tenstrukturen. Außerdem bietet die ak- 
tuelle Version JMX (Java Management 
Extension) zur Verwaltung von Java- 
Anwendungen an. 

Die mitgelieferten Beispiele zeigen, 
wie Derby externe Daten, die in ver- 
schiedenen Dateiformaten oder in einer 
anderen Datenbank vorliegen, über die 
VTI-Schnittstelle als Tabelle verwen- 
det. Dadurch stehen alle SQL-Mittel 
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zum Suchen und Bearbeiten zur Ver- 
fügung, ohne dass man sich mit dem 
Format der Daten beschäftigen muss. 
Außerdem können die Inhalte der 
VTI-Tabellen mit anderen Tabellen 
verknüpft werden. Das ist ein mächti- 
ges Werkzeug zum relativ einfachen 
Einbinden unstrukturierter Daten in ei- 
ne Datenbank, ohne sie dorthin zu im- 
portieren. Da die VTI-Tabellen keine 
Indizes unterstützen, bietet sich dieses 
Verfahren bei kleinen Datenmengen 
an, die sich häufig ändern. Die mit- 
gelieferten Beispiele demonstrieren das 
für Property-, XML- und Log-Dateien 
sowie für die Anbindung einer exter- 
nen MySQL-Datenbanktabelle. Voraus- 
setzung ist in jedem Fall eine Java- 
Klasse, die Methoden für den Lese- und 
gegebenenfalls Schreibzugriff auf die 
Datenquelle bereitstellt. Das Einbin- 
den dieser Methoden übernehmen Stored 
Procedures. Das folgende Beispiel aus 
der Derby-Distribution nutzt die Stored 
Procedure propertyFileVTI, die eine 
Tabelle zurückliefert. Es findet alle 
nicht ins Deutsche übersetzten Fehler- 
meldungen: 


SELECT * FROM TABLE[ 
propertyFileVTl('messages_en.properties' | ] 
m_english 
WHERE m_english.messagelD NOT IN [ 

SELECT m_german.messagelD 

FROM TABLE( 
propertyFileVTl('messages_de.properties' ] ] 

m_german 


l; 


JDBC 4.0 enthält einen XML-Datentyp 
samt geeigneten Funktionen für die 
Verarbeitung von XML-Dokumenten. 
Voraussetzung für seine Verwendung 
ist ein JAXP-Parser wie Xalan 2.7.0 
im CLASSPATH der JVM. Den neuen 
XML-Datentyp aus SQL20003 unter- 
stützt zumindest die Datenbank selbst, 
jedoch nicht der JDBC-Treiber. Trotz- 
dem lässt er sich mit Derby verwen- 
den. Dazu muss der XML-Spaltenwert 


® geringer Platzbedarf 

© JDBC4-Implementierung 

© Datentyp und Funktionen für 
XML-Dokumente 

© kein UPDATE auf XML-Teildokumente 


© nur zwei CPUs im Parallelbetrieb 
möglich 
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Embedded Systems 


Listing 1: Stylesheet DumpSQL.xsl 


<’yml version="1.0"% 
sxslistylesheet xmlnsixsl="http://unn.w3.org/1999/XSL/Transforn" 
version="1.0" 
xnns:sql="org.apache.xalan.Lib.sql.XConnection" 
extension-element-prefixes="sql"> 
<xslzoutput method="html" indent="yes"/> 
<xsliparam name="driver" 
select=""org.apache.derby. jdbe.Enbeddeddriver'"/> 

<xsl:param nane="datasource" select=""jdbe:derby:toursdb'"/> 
<xsl:param nane="query" select=""SELECT * FROM CITIES'"/> 
<xslitemplate match="/"> 


<xsl:variable name="db" select="sqlinew($driver, $datasource)"/> 
<xslivariable name="table" select="sqlzquery($db, $auery)'/> 


sxslicopy-of select="$table" /> 
sxslivalue-of select="sqlzclose($db)"/> 
<Ixslitenplate> 
sIxslistylesheet> 


des Abfrageergebnisses mit XMLSE- 
RIALIZE in einen CLOB oder String 
umgewandelt werden. Diesen holt wie 
üblich getString aus dem JDBC-Re- 
sultSet. 


Schnittstelle für 
virtuelle Tabellen 


Nach dem Anlegen einer Tabelle mit 


CREATE TABLE myXmITable 
(I INTEGER, XCOL XML]; 


und dem Eintragen eines XML-Frag- 
ments per 
INSERT INTO myXmITableli, xcol) 
VALUES (7, XMLPARSE| DOCUMENT 
CAST ('<article> 
<title>First Article</title> 
<author>John Smith</author> 
<body>A very short article.</body> 
</article>' AS CLOB) 
PRESERVE WHITESPACE]); 


kann man mit geeigneten XPath-Aus- 
drücken darauf zugreifen: 


SELECT i, XMLSERIALIZE (xcol as CLOB) 
FROM myXmITable 
WHERE XMLEXISTS('//authorltext() = 
"John Smith"]! 
PASSING BY REF xcol); 


Analog zu INSERT- funktionieren UP- 
DATE-Statements, die allerdings bis- 
lang nur das gesamte XML-Dokument 
austauschen können. Als weiterer XML- 
Operator steht XOUERY zur Verfü- 
gung. Damit lassen sich Teile von 
XML-Dokumenten wie Spalten einer 
Tabelle in SQL-Befehlen verwenden. 
Obwohl diese XML-Fähigkeiten noch 
nicht an die klassischer Datenbanken 
wie DB2 heranreichen, bietet Derby 
hier mehr als manche Open-Source- 
Konkurrenten. 

Zur XML/XSL-Verarbeitung dienen 
Erweiterungen für den XML-Parser 
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Xerces und XSL-/XPath-Parser. Aus 
Xerces lässt sich Derby direkt aufrufen, 
und die Ergebnisse der Datenbankab- 
fragen stehen im Stylesheet zur Ver- 
fügung. So wandelt 


java org.apache.xalan.xsit.Process \ 
-XSL DumpSQl.xsl>>DumpSQL.xml 


den Inhalt einer Tabelle mithilfe des 
Stylesheet DumpSOL.xsl (Listing 1) in 
XML. Das Resultat kann man mit ei- 
nem weiteren Stylesheet zum Beispiel 
nach HTML konvertieren. Das zeigt, 
dass Derby neue Möglichkeiten der 
XML-Verarbeitung ohne zusätzliche 
Programmierung bietet. 

Die Verwendung von Java für Stored 
Procedures ist sinnvoll, wenn es um 
komplexe Funktionen für dateninten- 
sive oder sicherheitsrelevante Abfragen 
geht. Sie laufen schneller als eine außer- 
halb der Datenbank liegende Variante, 
denn das Übersetzen in Java-Bytecode 
findet bereits beim Speichern der Pro- 
zedur statt. 

Zum Schutz der Daten oder für den 
Betrieb auf Geräten ohne eigene oder 
mit nur schwachen Sicherheitsmecha- 
nismen kann man die Derby-Datenbank 
verschlüsseln. Als Standardalgorithmus 
dient dazu DES (Data Encryption Stan- 
dard). Mehr Sicherheit bietet jedoch 
DESede (triple DES) oder ein anderer 
JCE-Encryption-Provider. Dadurch ist 
die Datenbank vor einem Ausspähen 
besser geschützt. 

Ein Vorteil von Derby ist der mögli- 
che Einsatz auf mobilen Geräten, da es 
keine Verwaltung erfordert. Anderer- 
seits kann es ohne Änderungen auch als 
Client-Server-Datenbank laufen. Aller- 
dings ist die Leistungsfähigkeit bislang 
dadurch begrenzt, dass es maximal 
zwei CPUs verwendet. Eine weitere 
Einschränkung besteht bei der Vertei- 
lung der Daten: Datenbankdaten und 
Transaktionsdateien lassen sich nur auf 
zwei separate Platten verteilen. 

Über das von IBM entwickelte 
DRDA-Protokoll (Distributed Rela- 
tional Database Architecture) oder al- 
ternativ einen ODBC-Treiber kann 


Derby mit Datenbanken anderer Her- 
steller Verbindung aufnehmen und 
mit weiteren Programmiersprachen 
verwendet werden. Die beste Unter- 
stützung gibt es jedoch für Java und 
JDBC: Derby ist für JDBC 4.0 die 
Referenzimplementierung. Da es auf- 
wärtskompatibel zu DB2 ist, lassen 
sich Anwendungen leicht portieren, 
falls man Funktionen dieser „großen“ 
Datenbank benötigt. 

Version 10.4 bietet erstmals Rollen 
zur Zusammenfassung von Benutzer- 
rechten, was die Kompatibilität mit 
anderen SQL-Datenbanken und die Si- 
cherheit erhöht. Verbesserungen gab 
es ebenfalls bei der Performance, etwa 
durch die Verwendung eines Cache 
für Statement und Sitzungsdaten im 
Client. 


Fazit 


Was die Unterstützung von Standards 
betrifft, so ist Derby insbesondere bei 
JDBC vielen Open-Source- und sogar 
manchem kommerziellen Konkurren- 
ten voraus. Die neue Version verbessert 
zudem die Sicherheit, die Verwaltung 
und die Integrierbarkeit. Entwicklern 
erleichtert sie durch den integrierten 
XML-Datentyp und Funktionen für 
seine Verarbeitung die Tätigkeit. (ck) 
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Voice over IP 


VMs VolIP-Gateway 5188 ist 
A gewissermaßen die logische 

Fortführung der etablierten 
Fritzbox-Serie für die Anwendung im 
Firmenumfeld. Im Gegensatz zu den 
Consumer-Modellen verzichtet die 
„Fritzbox heavy“ auf analoge Telefon- 
anschlüsse, stellt dafür aber insgesamt 
nicht weniger als acht ISDN-Ports zur 
Verfügung. Vier sind fest für den NT- 
Modus konfiguriert, etwa für den An- 
schluss von ISDN-TK-Anlagen. Die 
Speisespannung für die NT-Schnitt- 
stellen erzeugt das Gerät intern. Die 
vier externen Anschlüsse im TE-Modus 
stellen Verbindungen zu den vorhan- 
denen Amtsleitungen her. 

Auf dem VoIP-Gateway läuft die 
bekannte AVM-Linux-Umgebung, wo- 
bei für die ISDN-Sektion wie bei den 
Fritzboxen proprietäre Treiber zum 
Einsatz kommen. Der Telnet-Zugang 
lässt sich genauso freischalten wie bei 
den Fritzboxen und bietet Bastlern - 
aber leider auch Angreifern — über die 
Kommandozeile vollen Zugriff auf 
das System. 

Der VoIP-Teil des 5188 ist im 
Gegensatz zu den Implementierungen in 
den Consumer-Geräten durchwahlfähig. 
Das VoIP-Gateway 5188 lässt sich des- 
halb an Anlagenanschlüssen betreiben 
- Fritzboxen arbeiten nur an Mehrge- 
räteanschlüssen. Darüber hinaus haben 
die AVM-Entwickler einen Ethernet- 
Switch mit 4 Ports und ein ADSL-Mo- 
dem integriert. Wireless LAN stellt 
das Gerät jedoch nicht bereit. 


DSL-Router inklusive 


Den integrierten ADSL-Router hat 
AVM fest auf NAT-Betrieb konfigu- 
riert. Allerdings berücksichtigt das 
VoIP-Gateway die Lebenswirklichkeit 
in Netzwerken deutscher KMU inso- 
weit, als die ADSL-Router-Sektion 
auch ungenutzt bleiben kann. Das 
AVM 5188 kann sich so ins IP-Netz 
integrieren und die dort vorhandenen 
Router nutzen. 

Leider lässt sich der 4-Port-Switch 
nicht auftrennen. Zwar kann der Nutzer 
im Betrieb als DSL-Router einen „Ex- 
posed Host“ einstellen, eine echte „De- 
militarisierte Zone“ (DMZ) lässt sich 
mit dem 5188 jedoch nicht aufbauen. 

Zusätzlich zur DSL-Routerfunktion 
kann der 5188 als Endpunkt für bis zu 
vier VPN-Tunnel dienen. Als Gegen- 
stellen eignen sich PCs mit installiertem 
AVM-VPN-Client, aber auch Fritzbo- 
xen sowie Software und Geräte diverser 
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AVMs VolP-Gateway 5188 


Fritz goes Business 


Torsten Krüger 


Vor allem für den privaten 
und SOHO-Kommuniko- 
tionsbedarf hat AVM seine 
Fritzbox-Serie konzipiert. 
Nun legt der Hersteller 
nach und bietet mit dem 
VolP-Gateway 5188 ein 


Produkt an, das die Bedürfnisse kleiner 


und mittelgroßer Firmen berücksichtigt. 


anderer Anbieter. Tipps zur Konfigura- 
tion sind auf www.avm.de zu finden. 

Zugangsdaten für bis zu 40 VoIP- 
Provider kann der Nutzer über das GUI 
eingeben. Außerdem lässt sich dort mit 
Wählregeln und Auswahlziffern fest- 
legen, welches Rufziel das Gerät auf 
welchem Weg - sei es VoIP oder ISDN 
— kontaktieren soll. Über die Funktion 
lässt sich manuell auch ein rudimentä- 
res Least-Cost-Routing realisieren, et- 
wa indem man Gespräche mit der 
Vorwahl 007 - also nach Nordamerika 
— grundsätzlich über VoIP-Provider X 
aufbaut, während Gespräche zu Mo- 
bilrufnummern über einen günstigen 
Call-by-Call-Anbieter im Festnetz lau- 
fen. Automatisieren, etwa über das re- 
gelmäßige Herunterladen frischer LCR- 
Tabellen aus dem Internet, lässt sich 
die Funktion jedoch nicht. 

Zusätzlich kann der Nutzer bestimm- 
ten Quellrufnummern beziehungsweise 
den angeschlossenen Geräten eine Ver- 
bindung fest zuordnen. Das ist zum 
Beispiel sinnvoll, wenn man an einer 
nachgelagerten TK-Anlage ein Fax- 
gerät angeschlossen hat, das nur über 
das Festnetz einwandfrei funktioniert. 
Wie die Fritzboxen versendet das 5188 
Faxe über VoIP-Verbindungen als 
G.711-kodierte Audiosignale; „echtes“ 
Fax-over-IP nach dem T.38-Protokoll 
ist nicht implementiert. 

Leider enthält die Firmware des 
5188 keinen SIP-Client. Darin unter- 


scheidet sich das AVM VoIP-Gateway 
deutlich von ähnlichen Geräten, etwa 
denen von Inalp/Patton oder Audio- 
codes, die man auch als Gateways für 
einen VoIP-Softswitch wie Asterisk 
oder Bluesocket (früher Pingtel) be- 
treiben kann — etwa um die Zahl der 
nutzbaren Leitungen zu erhöhen. Eine 
solche Funktion würde den 5188 bei 
einem Straßenpreis von rund 350 Euro 
ausgesprochen interessant machen. 


Fazit 


In seinem gegenwärtigen Zustand 
scheint AVM das 5188 als reines Kon- 
vergenzprodukt zu positionieren, das 
in Verbindung mit einer existierenden, 
klassischen TK-Anlage dem Investi- 
tionsschutz beim Umstieg auf VoIP 
dienen soll. Für Anwender, die bereits 
einen Softswitch betreiben, ist das 
AVM 5188 wegen des fehlenden SIP- 
Clients jedoch keine Option. Es er- 
weckt allerdings nicht den Eindruck, 
dass AVM die Funktion absichtlich 
unterschlagen hätte — bei den Fritz- 
boxen, die bei der Entwicklung Pate 


standen, fehlt sie ebenfalls. (mr) 
TORSTEN KRÜGER 
ist Geschäftsführer bei der ncore 
GmbH in Duisburg. IR 
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Projektmanagement 


die Planung und Kontrolle von 
Projekten. Trotzdem können Mi- 
crosofts altgediente Produkte Project 
und Excel wohl immer noch die meis- 
ten Einsätze vorweisen. Die Vorgaben 
für ein flexibles Projektmanagement, 
neuerdings gern mit dem Universalbe- 
griff „agil“ versehen, erfüllen diese 
Programme jedoch nicht, denn hier 
sind schlanke Konzepte gefragt und 
keine riesigen Gantt-Diagramme. Mit 
kurzen Zyklen, im Fachjargon Iteratio- 
nen oder Sprints, wechselnden Prio- 
ritäten und Anforderungen kommen 
die konventionellen Vertreter der 
Zunft nicht zurecht. Bislang eignen 
sich für solche Zwecke nur wenige 
Tools wie XPlanner und XPWeb. Lei- 
der geben auch die sich ein wenig ge- 
hemmt: Sie arbeiten ausschließlich mit 
einer festgelegten Terminologie und 
kooperieren nur mit bestimmten Vor- 
gehensmodellen wie XP oder Scrum 
(siehe Kasten „Onlinequellen“). 
Mingle von Thoughtworks, im Som- 
mer 2006 erschienen und derzeit auf 
dem Versionsstand 1.1, sucht neue 
Wege. Statt Aufgaben in langen Lis- 
ten zu verwalten, dient hier die Kartei- 
karte als zentrales Planungswerkzeug 
(siehe Abbildung 1). Die komfortable 
Webanwendung stellt allen Beteiligten 
über eine Ajax-Oberfläche sämtliche 
Projektinformationen gesammelt an 
einem Ort zur Verfügung. Allen Betei- 
ligten wird etwas geboten: Der Pro- 
jektleiter kann den Fortschritt des 
Vorhabens kontrollieren, der Entwick- 
ler darf sich den Sourcecode ansehen, 


E s gibt zahlreiche Werkzeuge für 
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Mingle: 


Karteikarte ins Spiel. 


Kunden und Anwender erfassen ihre 
Anforderungen und können sich über 
das Projekt informieren. Als besonde- 
re Stärke wirft das Tool seine Anpas- 
sungsfähigkeit an beliebige Vorge- 
hensmodelle in die Waagschale. 

In vielen agilen Projekten planen 
die Teams ihre Aufgaben mit konven- 
tionellen Karteikarten aus Papier (zum 
Beispiel Task Cards in XP oder Back- 
log Items in Scrum). Sie werden übli- 
cherweise nach bestimmten Merkma- 
len an eine Planungswand gepinnt 
und nach Bedarf im Projektverlauf 
für verschiedene Zwecke umsortiert. 
Teams, die sich im selben Raum auf- 
halten, können nach dieser Methode 
hervorragend arbeiten. Das Berichts- 
wesen nach außen gestaltet sich aller- 
dings schwierig, für verteilt organi- 
sierte Projektgruppen eignet sich das 
traditionelle Verfahren daher nicht. 


Die traditionelle 
Karteikarte lebt 


Mingle löst sich von den tabellarischen 
Darstellungen herkömmlicher Projekt- 
management-Werkzeuge. Das Kartei- 
kartensystem erschließt sich dem Be- 
nutzer innerhalb eines Tages. Wer 
beispielsweise Microsofts Project ver- 
nünftig bedienen will, braucht eine 
Woche Schulung. Jede Karte können 
die Teammitglieder inhaltlich be- 
schreiben und mit beliebig vielen At- 
tributen ausstatten. Über die Definition 
des numerischen Attributs /teration 
würden sie das Werkzeug beispiels- 


Planungssoftware für agile Projekte 


Durchgemischt 


Christian Weiss, Guido Zockoll 


Herkömmliche Projektmanagementsysteme geben 
sich häufig etwas behäbig und unflexibel. Mingle 
versucht sich als schlanke und agile Variante und 
bringt als Planungswerkzeug die altbewährte 


weise für iterative Vorgehensmodelle 
anpassen. 

Eine Planungswand stellt in der Re- 
gel nur einen bestimmten Aspekt dar. 
Etwa, wer gerade woran arbeitet, den 
Projektfortschritt oder welche Features 
welches Team in welcher Iteration fer- 
tigstellen soll. Mingle hingegen ver- 
wendet frei konfigurierbare Register, 
die dem Planer die Möglichkeit geben, 
seine Karten nach bestimmten Merk- 
malen zu filtern und zu ordnen. Jedes 
Register zeigt mithin eine andere Sicht 
auf die Planung. 

In den Registern kann das Werkzeug 
die Karten nach einem Attribut — zum 
Beispiel Status — in Spalten gruppieren 
und nach einem weiteren Attribut 
farblich hervorheben (etwa für unter- 
schiedliche Prioritäten). Einfaches 
Verschieben der Karte mit der Maus 
in eine andere Spalte löst einen Status- 
wechsel aus. Steht die Ressourcenpla- 
nung im Vordergrund, könnte ein 
Register dies so darstellen: Spalte = 
Teammitglied, Farbe = geforderte Fä- 
higkeit. Durch die Kombinationen von 
zwei Attributen entstehen einfach und 
schnell aussagekräftige Übersichten, 
die der Benutzer speichern und für den 


Onlinequellen 
Mingle studios.thoughtworks.com 
XPlanner  www.xplanner.org 
XPWeb xpweb.sourceforge.net 


XP-Prinzipien c2.com/xp/DoTheSimplest 
ThingThatCouldPossiblyWork.html 
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Projektmanagement 


schnellen Zugriff als Tab-Reiter fest- 
legen kann. 

Die Übersichten geben einen guten 
Einblick in den Projektstatus. Manch- 
mal muss es allerdings doch ein Tor- 
tendiagramm oder ein Chart sein. Zu 
diesem Zwecke bietet die Einstiegssei- 
te frei definierbare Grafiken. Mit der 
eigenen Abfragesprache MQL (Min- 
gle Query Language) lassen sich Attri- 
bute auswählen und die Ergebnisse 
aggregiert darstellen. Auf diese Weise 
ist der Benutzer in der Lage, sich eine 
Art Kommandostand zu bauen, der die 
wichtigsten Projektmetriken grafisch 
anzeigt. 


Systembefüllung via Excel 


Der beste Weg, Karteikarten ins Sys- 
tem zu bekommen, führt über eine Ex- 
cel-Liste (siehe Abbildung 2). Mingle 
wandelt deren Zeilen in Karteikarten 
um. Umgekehrt geht es ebenso. Die 
Liste lässt sich per Cut & Paste in das 
Projektmanagementwerkzeug übertra- 
gen. Es versucht, in den Spalten sinn- 
volle Attribute wie /d oder Name zu 
erkennen und zu extrahieren. Alle un- 
bekannten Spalten enden als soge- 
nannte Custom Properties, die man ig- 
norieren kann. 

Als weiteres Features enthält Mingle 
ein Wiki sowie die Möglichkeit, eine 
Verbindung zum Versionskontrollsys- 
tem Subversion zu etablieren. IDs in 
den Subversion-Kommentaren zeigen 
auf die passenden Karten. Man kann 
ein Projekt als Schablone für weitere 
Projekte exportieren, die dann über die 
gleichen Attribute, Reports und Views 
verfügen. Drei Schablonen für ver- 
schiedene Projekttypen gehören zum 
Lieferumfang (Iterativ, XP und Scrum). 
Zudem Newsfeeds, E-Mail-Benach- 
richtigungen bei wichtigen Ereignissen, 
Projekthistorie und anderes mehr. 

Eine Aufgabe in Mingle besteht aus 
mehreren Teilaufgaben. Diese einfa- 
che hierarchische Beziehung lässt sich 
in dem Tool nur schlecht abbilden. 
Zwar kann der Planer über selbst defi- 
nierte Attribute Verweise auf überge- 
ordnete Aufgaben erfassen, doch eine 
übersichtliche Darstellung, etwas in 
Form eines Baumes, gibt es nicht. 
Weiterhin fehlen eine deutsche Loka- 
lisierung sowie die Option, auch ande- 
re Versionierungssysteme als Subver- 
sion anzubinden. 

Ebenso ungewöhnlich wie das 
Werkzeug selbst erscheint Mingles Li- 
zenzmodell. Open-Source-Projekte und 
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Das übersichtliche und eingängige Karteikartensystem ist Mingles wichtigstes 


Projektplanungswerkzeug (Abb. 1). 


“a (KM Hu Amprelseren Eresme Carcie_erpott = Ming 


3a | Nastto complete impor 


Preview import 


gelorderte Skalls 


Mitarbeiter 


sts property 9 | au cuntoen property #] | as zustoen prowerty 


Beim Import von Excel-Listen extrahiert das Werkzeug sinnvolle Attribute und 
wandelt die Zeilen in Karteikarten um (Abb. 2). 


nicht kommerzielle Organisationen dür- 
fen das Tool kostenfrei benutzen. 
Kommerzielle Anwender bekommen 
die ersten fünf Lizenzen umsonst. Ab 
der sechsten möchte Thoughtworks 59 
US-Dollar pro Monat und Benutzer ha- 
ben - es geht also nur im Mietmodus. 


Fozit 


Das Projektmanagementwerkzeug Min- 
gle eignet sich gut für die Planung 
und Kontrolle agiler Projekte. Zwar 
gibt es ähnliche Produkte (XPlanner 
und XPWeb), Mingle überzeugt je- 
doch durch Flexibilität, einfache Bedie- 
nung und kurze Einarbeitungszeit und 
folgt dem XP-Prinzip: „Tue das Ein- 
fachste, was die Anforderungen gera- 
de eben erfüllt.“ Mit ihrem überzeu- 
genden Karteikartensystem erfüllt die 
Software die meisten Anforderungen 
an eine professionelle Projektplanung 
auf elegante Weise. (jd) 


CHRISTIAN WEISS 


ist Geschäftsführer bei der oose GmbH 
in Hamburg 


GUIDO ZOCKOLL 


ist Geschäftsführer der EXPERTS@WORK 
GmbH in Hamburg. 


© Unabhängigkeit vom Vorgehensmodell 


© verständliches Karteikartensystem 

© Im- und Export von Excel-Listen 

& kostenlos für kleine sowie 
Open-Source-Projekte 

© keine übersichtliche 
Aufgabendarstellung 


© lizenzen nur im Mietmodell 
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Voice over IP 


ass Voice over IP weitaus mehr 
D bieten kann als weniger Verkabe- 
lung und geringere Kosten, will 
die Firma Teamfon mit ihrem Produkt 
TeamSIP beweisen. Es soll über den 
bloßen Ersatz der klassischen Telefon- 
zentrale hinausgehen. Seine auf Stan- 
dards aufsetzende modulare Architektur 
bildet Geschäftsprozesse ab und bringt 
dabei unterschiedliche Kommunika- 
tionsformen unter einen Hut (siehe Ab- 
bildung 1). Teamfon bietet sein Produkt 
als Softwarepaket, als Appliance sowie 
gehostet an. Gegenstand der Unter- 
suchung war die erstgenannte Variante. 
In bestehende Applikationen lässt sich 
TeamsSIP mit sogenannten Konnektoren 
integrieren, die es für den Client und den 
Server gibt. Client-Konnektoren enthal- 
ten Schnittstellen zu diversen Desk- 
top-Anwendungen, etwa zu Outlook- 
Adressbüchern. Serverseitige stellen 
beispielsweise Schnittstellen zu ERP- 
und CRM-Systemen mit unterschied- 
lichen Protokollen bereit. Dabei führt 
TeamSIP weder neue Protokolle ein, 
noch erweitert es die existierenden. 
Telefondaten überträgt es per Session- 
Initiation-Protokoll (SIP), alle anderen 
Daten stellt es durch Webservices zur 
Verfügung. 


Verbindungen zur 
Außenwelt 


Im Zentrum von TeamSIP steht eine 
relationale Datenbank, die alle Daten 
und Konfigurationen speichert. Sowohl 
der Telefon- als auch der Integrations- 
und der IM-Server greifen darauf zu. 
Der Telefonserver stellt alle Sprach- 
dienste zur Verfügung. Eine wichtige 
Funktion ist die Verwaltung der Wahl- 
pläne, mit denen der Nutzer das Routing 
der Telefongespräche beeinflussen kann. 
Zudem ist der Telefonserver zuständig 
für die Voice-Mailboxen der Teilneh- 
mer. Sprachnachrichten können die Nut- 
zer über das Web-Interface des Integra- 
tionsservers als WAV-Datei abrufen. 
Ein weiteres Feature des Telefonser- 
vers sind die sogenannten „Queues“. 
Diese Warteschlangen besitzen eigene 
Telefonnummern und lassen sich dyna- 
misch unterschiedlichen Personen zu- 
weisen. Ist eine Queue definiert, kann 
ein Teilnehmer sich anmelden und die 
eingehenden Telefongespräche emp- 
fangen. Verlässt er das Büro, meldet er 
sich wieder ab. Ist niemand mehr an- 
gemeldet, kann das System dem Anru- 
fer zum Beispiel einen Hinweis zu den 
Bürostunden geben. In Unternehmen 
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VoIP-Kommunikationsplattform für Unternehmen 


Gruppenleiter 


Patrick Harpes, Johannes Hermen 


TeamSIP*- die innovative | 

VoIP Telefonanlage 

* Modilares Spaten - beflehiig Änmsgrkerhu 
hard indgenkte 


Teamfon bietet mit TeamSIP eine VolP-Lösung, die nicht nur 
die klassische Telefonie ersetzen soll. Der Hersteller sieht sein 
Produkt als universelle, integrierte Kommunikationsanlage. 


mit vielen Filialen dürfte die Konfe- 
renzraum-Funktion beliebt sein. Man 
kann mit dem Telefonserver virtuelle 
Räume anlegen und jedem eine eigene 
Telefonnummer zuweisen. Dort kön- 
nen sich mehrere Teilnehmer „treffen“ 
und eine Konferenz abhalten. 


Viele Dienste kombiniert 


TeamsSIPs Integrationsserver ist nicht 
nur für das Einbinden externer Appli- 
kationen zuständig. Er dient außerdem 
als Web-Frontend für das gesamte Sys- 
tem. Die Webschnittstelle zur Verwal- 
tung unterscheidet Administratoren und 
gewöhnliche Benutzer. Erstere können 


Wahlpläne erstellen, neue Nebenstel- 
len anlegen oder zentrale, abteilungs- 
weite sowie persönliche Telefonbücher 
anlegen und pflegen. 

Alle Teilnehmer können per Browser 
ihre Sprachmailbox abhören, Kurzmit- 
teilungen (SMS) verfassen und Informa- 
tionen über die geführten und verpassten 
Telefongespräche einsehen. Außerdem 
lassen sich über die Webschnittstelle 
Umleitungen definieren und aktivieren. 
Bei allen Aktivitäten steht dem Nutzer 
ein integriertes Hilfesystem zur Seite. 

Der Webserver unterstützt verschlüs- 
selte Verbindungen via SSL bezie- 
hungsweise HTTPS. Allerdings hat 
der Hersteller die Funktion im Auslie- 
ferungszustand nicht aktiviert. 
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Voice over IP 


Neben VoIP beherrscht TeamSIP 
auch Instant Messaging (IM). Der inte- 
grierte IM-Server versteht das XMPP- 
Protokoll (Extensible Messaging and 
Presence Protocol) und erlaubt nicht nur 
den Austausch von Nachrichten mit 
anderen Teilnehmern, sondern stellt 
außerdem eine Präsenzanzeige bereit. 

Least Cost Routing zur Ermittlung 
der günstigsten Verbindung ist seit der 
Liberalisierung des Tk-Marktes gang 
und gäbe. Um festzustellen, ob ein 
Teilnehmer auch per Internet-Telefonie 
erreichbar ist, kann TeamSIP bei einem 
ENUM-Server (tElephone NUmber 
Mapping) nachfragen (siehe Abbil- 
dung 2). Existiert dort kein Eintrag, lässt 
sich der Anruf nur über das Mobil- oder 
Festnetz routen. 

Alle Serverkomponenten basieren auf 
Open-Source-Software, von der Daten- 
bank MySQL bis zum Telefonserver 
Asterisk. Der Integrationsserver verwen- 
det Apache/Tomcat, der IM-Server Jab- 
ber. Die Komponenten lassen sich auf 
einer Maschine installieren oder — bei 
höheren Skalierungsansprüchen — auf 
mehrere Rechner verteilen. 


Softwaretelefon inklusive 


Da TeamSIP auf dem VoIP-Protokoll 
SIP basiert, sollte es mit jedem SIP-fä- 
higen Telefon zusammenarbeiten. Unter 
dem Namen Teamcenter liefert der Her- 
steller außerdem ein erweitertes Soft- 
phone mit, das neben den Sprachdiens- 
ten Funktionen wie IM, SMS-Versand, 
hierarchische Telefonbücher, Kurzwahl- 
tasten, Statusanzeige et cetera besitzt 
(siehe Abbildung 3). 

SIP-Telefon und Teamcenter lassen 
sich auch gemeinsam einsetzen. So 


Datenbank 


Integrationsserver 


« Telefonbuch 
« Voicemail 
« Anrufhistorie 


Telefonserver 


Teamcenter 


kann der Nutzer etwa eine Nummer aus 
dem Teamcenter-Telefonbuch wählen, 
das Gespräch jedoch mit dem SIP-Te- 
lefon führen. Konnektoren erlauben so- 
wohl das Anzeigen von Teamcenter- 
Funktionen in anderen Applikationen, 
etwa des IM-Status im Adressbuch von 
Microsoft Outlook, als auch das Fern- 
steuern des Clients, zum Beispiel den 
Aufbau von Gesprächen aus anderen 
Programmen heraus. 

Telefonbücher und Kontaktlisten an- 
derer Anwendungen lassen sich eben- 
falls durch Konnektoren in Teamcenter 
integrieren. Da die Konnektoren-API 
des Clients für Kunden frei verfügbar 
ist, können sie Anpassungen an diverse 
Softwareprodukte selbst vornehmen. 

Durch die client- und serverseitige 
Erweiterbarkeit lassen sich mit TeamSIP 
auch Callcenter-Applikationen realisie- 
ren, bei denen der Client bei einem 
Anruf Eingabemasken und Fragebögen 


Teamcenter 


Anfrage: 
+49 89 4270050 


SIP-Telefon 
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TeamSIP 


Datenban 


‚Antwort: 
sip:support@teamfon.com 


Richtungsweiser: Steht der 
gewünschte Teilnehmer im 
ENUM-Verzeichnis, kann 
TeamSIP den Anruf über 
das Internet leiten (Abb. 2). 


sIp 


SIP-Telefon 


° Gespräche 

« Rufnummern Konnektor 

« Wählpläne > 
XML 


Komplexer Aufbau: 
TeamSIP besteht aus 
einer Reihe von 
Modulen (Abb. 1). 


einblendet, deren Ergebnisse sich über 
den Server in Datenbanken oder Appli- 
kationen zurückschreiben lassen. Eben- 
so wäre es möglich, bei eingehenden 
Anrufen Kundeninformationen aus an- 
deren Systemen anzuzeigen. Die Über- 
tragung der Daten zum Integrationsser- 
ver übernimmt Teamcenter, sodass man 
nur den serverseitigen Konnektor zur 
externen Anwendung neu zu schreiben 
braucht. 

Mit der Installation des Servers sollte 
ein erfahrener Linux-/Unix-Systemad- 
ministrator keine Schwierigkeiten ha- 
ben. Zunächst ist das Betriebssystem zu 
installieren — TeamSIP verlangt die 
kostenlose Linux-Distribution Fedora 
Core 6 als Unterbau. Anschließend 
muss der Admin mit yum update das 
System auf den aktuellen Stand brin- 
gen. Nach einem Reboot lässt sich das 
TeamSIP-Paket aus der Shell heraus 
installieren. 


Fachwissen ist hilfreich 


Das Installationsskript fragt nach diver- 
sen Informationen wie dem Namen des 
Systems, der Landes- und der Ortsvor- 
wahl. Bei Letzterer erwartet das Pro- 
gramm eine dreistellige Zahl, was etwa 
in Luxemburg zu Schwierigkeiten führt, 
da es dort keine Ortsvorwahl gibt. Künf- 
tige Versionen sollen toleranter sein. 
Der Hersteller schickte gleich zwei 
Updates mit, die sich ohne Schwierig- 
keiten installieren ließen. Ein automati- 
sches Update bietet Teamfon nicht an. 
Anschließend muss der Administra- 
tor mit dem Browser das System ein- 
richten. Mit ein paar Mausklicks kann er 
ein Abbild der Unternehmensstruktur 
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Armaturenbrett: Mit Teamcenter 
lassen sich alle Funktionen von 
TeamSIP nutzen (Abb. 3). 


anlegen, Abteilungen definieren und 
interne Vorwahlen zuweisen. Danach 
lassen sich Teilnehmer eintragen und 
mit Nummern und Voice-Mailboxen 
versehen. 

Weitaus schwieriger als das Ein- 
richten des Basissystems gestaltet sich 
die erweiterte Konfiguration. Will der 
Administrator zum Beispiel virtuelle 
Räume anlegen, muss er manuell die 
Asterisk-Konfiguration ändern. Da 
VoIP-Lösungen für Unternehmen meist 
einer individuellen Anpassung bedür- 
fen, bietet Teamfon einen — kosten- 
pflichtigen - Installations- und Konfi- 
gurations-Service an. 

Mit den zur Verfügung stehenden 
SIP-Telefonen, einem Grandstream 
GXP 2010 und einem Siemens Gigaset 
S450 IP DECT, überzeugte die Sprach- 
qualität sowohl bei internen Gesprächen 
als auch bei Verbindungen ins Fest- 
netz. Beim Teamcenter hing sie hinge- 
gen stark vom verwendeten Headset 
ab. Teamfon empfiehlt USB-Headsets 
mit aktiver Rauschunterdrückung. Wer 
drahtlose Headsets bevorzugt, sollte eher 
DECT- als Bluetooth-Geräte verwen- 
den. Zudem spielt der gewählte Codec 
eine wichtige Rolle. Zur Verfügung 
stehen G.711 (A-law und w-law), 
G.726, GSM und ILBC. 


Fazit 


Unterm Strich findet man mit Team- 
SIP ein solides Komplettpaket für VoIP- 
Anwendungen in kleinen bis mittleren 
Unternehmen. Das Produkt kann durch- 
aus mit denen anderer großer VoIP- 
Anbieter mithalten, ohne jedoch in de- 
ren Preisklasse zu spielen. Durch die 
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Integration in bestehende Telefonie- 
Infrastrukturen ermöglicht es eine sanfte 
Migration von der klassischen Tele- 
fonanlage zu Voice over IP. 

Zurzeit steht mit Teamcenter nur 
ein Client für Windows ab Ver- 
sion 2000 bereit. Jedoch lassen sich 
die Grundfunktionen auch mit jedem 
anderen SIP-Softphone nutzen. Tele- 
fonbücher und Voice-Mailbox sind 
zudem über das Web-Interface er- 
reichbar, wobei Teamcenter jedoch 
wegen der guten Integration und nütz- 
licher Features einen besseren Ein- 
druck hinterließ. 

Generell stellt sich bei TeamSIP 
wie bei allen VoIP-Systemen die Fra- 
ge nach der Ausfallsicherheit. Er- 
schwerend kommt im konkreten Fall 
die komplexe Architektur hinzu, bei 
der der Ausfall einer Komponente das 
System zum Erliegen bringen kann. 
TeamsSIP erlaubt es derzeit nicht, den 
Telefon- oder IM-Server redundant 
auszulegen, und hat somit einen Single 
Point of Failure (SPoF). Aber immer- 
hin bietet der Hersteller seinen Kunden 
einen 24-Stunden-Support an. (mr) 


PATRICK HARPES UND 
JOHANNES HERMEN 


arbeiten im Luxemburger Forschungs- 
institut Henri Tudor als Research 
Engineers. 


© großer Funktionsumfang 
© verwendet Standard-Protokolle 


© schwierige Konfiguration 


© mangelnde Ausfallsicherheit 


Produkt: TeamSIP 

Hersteller: Teamfon, www.Teamfon.com 
Preise: 

Softwarepaket: ab 800 Euro inkl. 

5 Teilnehmerlizenzen 

Appliance: ab 1200 Euro inkl. 

5 Teilnehmerlizenzen 
Teilnehmerlizenzen: 950/1700/3900 Euro 
(10/20/50 Teilnehmer) 

Hosting: ab 59 Euro + circa 10 Euro pro 
Nebenstelle [monatlich] 


R 
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Eclipse-Projekt 


Softwareprojekte managen mit EPF und xMDD 
Agile 
Globalisierung 


Eldar Sultanow 


Unter dem Dach des Eclipse Process Framework finden viele 
verschiedene Projekttypen und Entwicklungsmethoden Platz. 
ABC von den Universitäten Dortmund und Potsdam erweitert 
EPF um grafische Modellierung und Kollaborationsfunktionen. 


as Eclipse Process Framework 
D:» stellt einen anpassbaren 

Rahmen für verschiedene agile 
Entwicklungsmethoden und Projekt- 
typen zur Verfügung. Einige exempla- 
rischer Prozesse gehören ebenso zum 
Leistungsumfang wie die notwendigen 
Werkzeuge für die praktische Arbeit. 
Die aktuelle Release 1.2 enthält den 
EPF Composer 1.2 sowie OpenUP/Ba- 
sic 1.0 und bietet zahlreiche neue Funk- 
tionen. In Kombination mit dem eben- 
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falls agilen Kollaborationswerkzeug 
JABC (Java Application Building Cen- 
ter) eröffnet EPF interessante Optionen 
vor allem für kleine und mittlere Ent- 
wicklungsteams, die sowohl fest als 
auch selbstorganisierend sein können. 

Komplett runderneuert präsentiert 
sich der Diagrammeditor. Er kann jetzt 
mit Swimlanes, Kontrollfluss-Labels, 
Freiformzeichnungen und Schriftstilen 
umgehen und Bilder im GIF-, JPEG- 
und BMP-Format speichern. Der eben- 


falls überarbeitete Rich-Text-Editor er- 
laubt das Einfügen von Word-Dateien 
als Plain-Text sowie von Links und 
Bildern in der HTML-Ansicht. Seine 
HTML-Fehlermarkierungen und Kor- 
rekturfunktionen zeigen sich merklich 
verbessert. Der neue Prozesseditor er- 
möglicht das Ausblenden aller Tasks 
eines beliebigen Levels. Zudem unter- 
stützt EPF jetzt Vista, den Internet Ex- 
plorer 7 und Subversion. Publizierte 
Sites auf Applikationsservern können 
nun eine serverbasierte Suche umsetzen. 

EPF hilft bei der Koordination von 
Projektabläufen, dem Versionsmanage- 
ment von Dokumentationen und stellt 
dafür standardisierte Vorgehensweisen 
zur Verfügung. Für kleine und mittel- 
ständische IT-Unternehmen, die sich 
international betätigen und Offshoring 
planen oder durchführen, ist EPF eine 
echte Alternative zu kostenpflichtigen 
Werkzeugen für das Softwareprojekt- 
management. 


Ideale Projekte zum 
Auslagern 


Um für Offshoring infrage zu kom- 
men, müssen Softwareprojekte vier we- 
sentliche Kriterien erfüllen: Sie sollen 
über standardisierte Beschreibungs- 
mittel verfügen, ein ausreichend großes 
Projektvolumen aufweisen, die Itera- 
tionshäufigkeit muss sich in Grenzen 
halten, und sie dürfen nicht übermäßig 
komplex sein. Ein zu umfangreiches 
Projekt kann sich, wenn Standardisier- 
barkeit fehlt, negativ auswirken, denn 
hier gewinnen Kommunikationsproble- 
me und Koordinationsaufwand schnell 
die Oberhand. 

Vier Schlüsselfähigkeiten zeichnen 
EPF aus. Das Framework ist vielseitig 
einsetzbar, grundsätzliche Arbeitsschrit- 
te lassen sich in ähnlichen Projekten 
wiederverwenden, und eine standardi- 
sierte Beschreibungssprache dient als 
Grundlage für den Austausch auch über 
Firmengrenzen hinweg. Weiterhin be- 
steht die Möglichkeit, Prozessmodelle 
mit geringem Aufwand unternehmens- 
intern im gewünschten Corporate De- 
sign und in beliebten Formaten wie PDF 
oder HTML zu publizieren. 


Eclipse Process Framework 
www.eclipse.org/epf/ 


Kollaborationswerkzeug jABC 
jabc.cs.uni-dortmund.de 


iX 4/2008 


© Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. 


EPF besteht aus dem EPF Composer 
(basiert auf Eclipse RCP, Rich Client 
Platform) sowie einer Sammlung von 
Prozessmodellen, nämlich OpenUP/ 
Basic, dem agilen XP (Extreme Pro- 
gramming) und Scrum, einem iterativen 
Prozess, der die Prinzipen agiler Soft- 
wareerstellung in die Praxis überführt 
(Abbildung 1). Mit dem Composer ar- 


A-TRACT 


© EPF, OpenUP/Basic und das 
Kollaborationswerkzeug jABC in 
Kombination helfen Entwicklungs- 
teams bei der Projektorganisation 
auch von Offshore-Vorhaben. 


@ Für kleine und mittlere Teams bietet 
das Framework eine brauchbare 
Alternative zu kostenpflichtigen 
Konkurrenzprodukten. 


© Zwar muss man sich anfangs 
intensiv in EPF einarbeiten, 
erhält als Belohnung aber sauber 
strukturierte Projekte. 


In der vielschichtigen 
Architektur des EPF 
lässt sich der Aufbau 
von Eclipse wieder- 
erkennen (Abb. 1). 


beiten Prozessingeni- 
eure und Projektleiter, 


EPF Composer 


die für das Authoring, 
das Anpassen und das 
Veröffentlichen von 
Prozessen verantwortlich sind. Auch 
technisch wenig versiertes Personal soll 
dieses Werkzeug bedienen können. 
Der Composer enthält ein Bündel von 
Software für die Definition, Pflege und 
Publikation von Prozessbeschreibungen 
und Verfahrensinhalten auf Basis der 
Unified Method Architecture (UMA), 
einer Weiterentwicklung des OMG- 
Standards SPEM (Software Process 
Engineering Metamodel). Das Werk- 
zeug hat mehrere Zielgruppen: das Ma- 
nagement, das den Überblick über Zeit- 
räume und Kosten behalten will, den 
Entwickler, den die Beschreibungen 
über Prozesse und Metadaten interessie- 


ren, sowie den Projektverantwortlichen, 
der die Entwicklungsmethoden festlegt. 
Auch in der Lehre lässt sich das Frame- 
work gut einsetzen. Sein universeller 
Ansatz birgt natürlich einige Fallstricke. 
Der Einführungsaufwand ist groß, und 
OpenUP/Basic präsentiert sich vor al- 
lem dem Einsteiger aufgrund seines 
Umfangs als harter Brocken. Hinzu 
kommt, dass eine zentrale und frei zu- 
gängliche Dokumentation bisher fehlt. 
Jede gewünschte Entwicklungsme- 
thode lässt sich via Plug-in in EPF 
verankern, vorhandene Plug-ins kann 
der Benutzer erweitern. Zu Letzteren 
gehören die schon erwähnten OpenUP/ 
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Eclipse-Projekt 


Basic, XP und Scrum. Zum Herunter- 
laden bereit liegen zudem die Agile 
Database Techniques (ADT) für die 
Entwicklung von Datenbankmodellen 
sowie das Agile Model Driven Deve- 
lopment (AMDD). Beide erweitern den 
Basisprozess OpenUP/Basic (siehe 
„Onlinequellen“). 

Das agile und leichtgewichtige Open- 
UP/Basic eignet sich gut für kleine Ent- 
wicklungsvorhaben und für Webprojek- 
te. Obwohl der Prozess minimalistisch 
angelegt ist und sich ausschließlich 
um fundamentale Aspekte kümmert, ist 
er doch vollständig und erweiterbar. 
Das Vorgehensmodell bietet einen ab- 
geschlossenen Prozesslebenszyklus und 
dient als Grundlage zum Anreichern 
der Entwicklungsabläufe mit zusätz- 
lichen Funktionen und Programmen. 

OpenUP/Basic deckt die Interessen 
aller Stakeholder (Anspruchsgruppen, 
Kunden) ab und verzichtet auf unpro- 
duktive Formalitäten. Der Prozess bie- 


tet eine zeitgemäße Herangehensweise 
für die Systementwicklung innerhalb ei- 
nes bewährten und strukturierten Le- 
benszyklus. Er besitzt essenzielle Merk- 
male eines Unified Process, wie sich ihn 
die sogenannten drei Amigos und UML- 
Erfinder Grady Booch, James Rum- 
baugh und Ivar Jacobson ausgedacht ha- 
ben. Sie schufen einen standardisierten, 
iterativ inkrementellen, architekturzen- 
trierten Prozess, der Use Cases (An- 
wendungsfälle), Scenario-driven De- 
velopment (anwendungsfallgetriebene 
Entwicklung) und Risikomanagement 
beinhaltet. Kurze Iterationen sollen 
ständiges Feedback erzeugen und so 
den Projektfortschritt sichtbar machen. 
Der bekannte Rational Unified Pro- 
cess (RUP) liefert eine Referenzimple- 
mentierung eines Unified Process. Sein 
Lebenszyklus läuft über fünf Phasen: 
Einstieg (Geschäftsprozessmodellierung 
und Festlegung des Projektziels), Aus- 
arbeitung (Projektplan, Grundzüge der 


ri» (OR Eee 


3 (E Standard Categones 

7 I Discpines je 

&$ openup_discplmes things 
hitecture 


€ % | Desırption Roks |Gusdance Prevem 


Main roles in OpenUP and their interaction 


Die Eclipse-typische GUI zeigt Rollen, Artefakte und Disziplinen von 


OpenUP/Basic (Abb. 2). 
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Architektur), Konstruktion (Bauen des 
Produkts), Test und Auslieferung. Ne- 
ben dem Projektmanagement unterstützt 
RUP das Konfigurations- und Ände- 
rungsmanagement (Change Manage- 
ment), eine Disziplin, die es ermöglicht, 
die IT-Infrastruktur kontrolliert, effizient 
und risikoarm anzupassen. OpenUP/Ba- 
sic enthält die fünf Phasen in ähnlicher 
Form und ist die Referenzimplemen- 
tierung für EPF. 


Klare Verhältnisse 
durch Rollenverteilung 


OpenUP/Basic folgt einigen Kernprin- 
zipien (siehe Tabelle „OpenUP/Basic- 
Kernelemente und ihre Zusammen- 
hänge“), die als Grundlage für die 
Interpretation von Rollen, Produktent- 
wicklung und Ausführen von Tasks 
dienen. Der Prozess teilt sich auf in 
zwei korrelierende Teile: den Metho- 
den- und den Prozessinhalt. Im ersten 
legt man Rollen, Tasks, Artefakte und 
Anleitungen fest, unabhängig davon, 
wie diese später im Projektlebenszyklus 
zum Einsatz kommen. Im zweiten Be- 
reich stellt der Entwickler die Metho- 
deninhalte in einen zeitlichen Kontext. 
Der Prozess führt zudem Teilprozesse 
sowie eine Kollaborationsschicht ein. 

Zusätzlich enthält OpenUP/Basic 
agile Konzepte wie Test-first Design 
(Test wird vor dem Code geschrieben), 
Continuous Integration (regelmäßiges, 
vollständiges Neubilden und Testen 
einer Anwendung), Time-boxed Itera- 
tions (jede Iteration hat eine strikte 
Deadline) und Refactoring (manuelle 
oder automatisierte Strukturanpassun- 
gen von Quelltexten). Letzteres soll 
die Lesbarkeit, Verständlichkeit, Wart- 
barkeit und Erweiterbarkeit des Codes 
verbessern. Wie RUP kennt OpenUP/ 
Basic die Rollen Stakeholder, Analyst, 
Architekt, Entwickler, Projektmanager 
und Tester (Abbildung 3). 

Die Methoden von OpenUP/Basic 
konzentrieren sich auf Anforderung, 
Analyse und Design, Implementie- 
rung, Test, Projektmanagement sowie 
Konfigurations- und Änderungsmanage- 
ment. Weiterführende Disziplinen wie 
Geschäftsprozessmodellierung oder ein 
ausgefeiltes Anforderungsmanagement 
fehlen hingegen, sind für kleinere Pro- 
jekte allerdings auch nicht erforderlich. 

Jedes Teammitglied erzeugt seiner 
Rolle entsprechend Artefakte, die je- 
weils Teilergebnisse beschreiben. An- 
hand dieser Dokumentation können alle 
Beteiligten das Projekt nachvollziehen, 
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Eclipse-Projekt 


ueam 
Z - | 3 


Statement Fokus auf OpenUP/Basic-Kernprinzipien Methodeninhalte 


Umgang mit 
Management (Projektleitung) schnelle Reaktion bei Geschäftssicht auf das Monitoring, Führung, stetiges Feedback, kurze Projektmanagement 
Änderungswünsche, keine Projekt Risikominimierung Iterationen 


starre Planerfüllung 
Zusammenarbeit mit Kunden 
geht vor Vertragsverhandlungen 


Ausbalancieren konkurrierender 
Prioritäten, Lösungsfindung 


Kommunikation, Aushandlung, 
Stakeholder-Belange 


Anwendersicht 
auf das Projekt 


Ziel (Definition der 


Anforderungs-, Konfigurations- 
Produktparameter) 


und Änderungsmgmt., Test 
(Spezifikation der Test-Cases) 
Analyse & Design, 
Implementierung, Test 


Softwareentwicklung hat Sicht des Entwicklerteams 


Vorrang vor ausgedehnter 


Architekturfragen, technische 
Entscheidungen 


Erstellung und Verifikation 
technischer Produkte/Builds 


Lösung (Produkterstellung) 


Dokumentation 


Individuen und Interaktionen 
kommen vor Prozessen und 
Werkzeugen 


Kollaboration (Fundament für 
Management, Ziel und Lösung) 


kontrollieren und Kollegen einarbeiten. 
Zudem bildet sie die Kommunikation- 
plattform für die verschiedenen Rollen. 
Artefakte umfassen Quellcode, ausführ- 
baren Binärcode und Dokumente mit 
formalen Systembeschreibungen (Dia- 
gramme und Metadatenkataloge). Die 
Kontrolle des Projekts mittels der Ar- 
tefakte schließt eine dreistufige Qua- 
litätsprüfung ein: statische Quellcode- 
analyse, Modultests auf dem Binärcode 
sowie Durchsicht der Dokumente an- 
hand von Checklisten. 

Folgende Artefakte erstellt und mo- 
difiziert der Entwickler innerhalb von 
Teilprozessen: Use Cases, Glossar, Vor- 
stellungen des Kunden (Vision), To-do- 
Liste, Test-Log und Testcase-Dokument 
(Abbildung 2 im Baum rechts unter 
Work Products). Weiter benutzt er in- 
formelle Darstellungen wie Screen- 
shots, Whiteboards, Modellskizzen mit 
UML, Simulationen und ausführbare 
Prototypen. Sogenannte Capability 
Pattern kümmern sich um allgemeine 
Projektbelange. Die Muster können 
auf einzelne Bereiche, etwa Iterations- 


Verantwortlichkeiten und 
Rollen der Teammitglieder 


Zusammenarbeit im Team, 
klares Rollenverständnis, 
klare Verantwortlichkeiten 


management, Projektinitialisierung oder 
Architekturdefinitionen spezialisiert 
sein. Beispielsweise verwenden Pro- 
jektmanager das Development Solu- 
tion Pattern für Planungs- und Bericht- 
erstattungszwecke. 


Gute Zusammenarbeit 
mit ABC 


Neben Dokumentenmanagement und 
IT-Sicherheit nimmt das Collaboration 
Management eine Schlüsselstellung in 
internationalen Projekten ein. Hierfür 
eignet sich JABC, das von den Univer- 
sitäten Dortmund und Potsdam entwi- 
ckelt wird. Das Werkzeug existiert in 
einer freien (für Lehre und Forschung) 
sowie in einer kommerziellen Variante 
(Preise nach Absprache) und ist auf 
Anfrage von Prof. Tiziana Margaria 
erhältlich (siehe Kasten „Onlinequel- 
len“). Eine im Web frei verfügbare 
Version ist geplant. 

JABC basiert auf dem Modellierungs- 
prozess xMDD (Extreme Model-driven 


OpenUP/Basic 


Adapted from RUP 


Open Source Development 


- Scrumn -AMDD 


Eclipse 


EPF-Ökosystem: OpenUP/Basic erweitert EPF um eine generische Schnittstelle 


für Prozess-Plug-ins (Abb. 3). 
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Entwicklung von Verfahren zur 
Teambildung, Förderung des 
Projektverständnisses 


(Programmieren der 
Testskripte) 

durchgehende Zusammenarbeit 
im Projekt, gemeinsame 
Artefakte 


Development, eine Weiterentwicklung 
des LPC, Lightweight Process Coordi- 
nation). Für die grafische Modellierung 
verwendet JABC sogenannte SIBs (Ser- 
vice Independent Building Blocks) — 
serviceunabhängige Programmeinhei- 
ten, die sich sowohl in gleichen als auch 
unterschiedlichen Diensten wiederver- 
wenden lassen, da sie nur deutlich ab- 
gegrenzte Funktionen bereitstellen. SIBs 
sind kompatibel zu allen Java-Sicher- 
heitsstandards. Im jJABC-Framework 
verbindet der Entwickler SIBs durch 
Kanten und kombiniert sie zu Fluss- 
graph-ähnlichen Strukturen. Die Plug- 
ins verschiedener Hersteller, die Open- 
UP/Basic erweitern, bieten sowohl 
umfassende Techniken wie MDD als 
auch kleine, spezielle wie ADT. 
xMDD erweitert andere Prozesse 
um eine Koordinationsschicht. Sie lässt 
sich durch Anordnung vordefinierter 
SIBs per Drag & Drop aufbauen. Der 
Modellierungsprozess setzt acht As- 
pekte um, die moderne Softwareent- 
wicklungsmethoden wie OpenUP/Ba- 
sic auszeichnen [1], [2]: 
Einfachheit: Der Prozess konzentriert 
sich auf Anwender ohne Programmier- 


nn erfahrung. _ 
Extensions lem Flexibilität: Anderungen am Software- 
a modell sind eingeplant (agile Software- 
EB Syslems Mgmt. entwicklung). 


Konsistenz: Dem kompletten jJABC- 
Entwicklungsprozess liegt immer ein 
gemeinsames Softwaremodell zugrunde. 


er Open Process Anpassbarkeit: Die xMDD-Kompo- 
AP Framework nenten lassen sich umbenennen oder 


umstrukturieren, um den Namenskon- 
ventionen und Bedürfnissen der Fach- 
anwender (beispielsweise Statistiker 
oder Biologen) zu entsprechen. 

Verifikation: Techniken wie Local- 
und Modelchecking unterstützen den 
Benutzer. Idee ist, lokale und globale 
Bedingungen an ein Modell zu knüpfen. 
Serviceorientierung: Bestehende Fea- 
tures oder Anwendungen lassen sich 
einfach in das Modell integrieren, indem 
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die Funktionen in einer xMDD-Kom- 
ponente verpackt werden. 
Ausführbarkeit: Ein Systemmodell 
kann auf verschiedenen Ebenen Code 
enthalten. Aus SIBs lässt sich an belie- 
biger Stelle ausführbarer Code generie- 
ren — über EJB3-konforme, annota- 
tionsbasierte O/R-Mappings bis hin zu 
Service-Rumpfklassen (Skeletons). 
Universalität: Das Framework nutzt 
Java als Basis. Die Interoperabilität zu 
anderen Frameworks wie .Net ist auf- 
grund der Serviceorientierung gegeben. 

xMDD bietet zwei wesentliche Rol- 
len, die sich in EPF integrieren lassen 
und die Rollen von OpenUP/Basic er- 
gänzen: Einen SIB-Fachmann sowie 
einen Experten, der die Programman- 
forderungen aus Anwendersicht formu- 
liert. Letzterer konstruiert ein Modell 
aus bestehenden SIBs und definiert bei 
Bedarf neue (Name, Parameter und 
Kanten) mit JABCs SIBCreator-Plug- 
in. Beide Rolleninhaber arbeiten selbst- 
verständlich zusammen. 

Eine SIB-Klasse ist unabhängig 
von ihren Anwendungsfunktionen zu 
implementieren (etwa mit Reflections 
für Zugriffe auf externe Funktionsbi- 


bliotheken). Dies ist erforderlich, da- 
mit für die Modellierung SIB-Klassen 
in die Laufzeitumgebung eines belie- 
bigen Rechners geladen werden kön- 
nen — selbst wenn die Bibliotheken 
noch fehlen, die das Programm im 
späteren Produktivbetrieb benötigt. 
Die bei der Modellierung erstellten 
Graphenmodelle lassen sich wiede- 
rum als SIB verstehen und auf einer 
abstrakteren Modellierungsebene ver- 
wenden. Gleichermaßen lässt sich ein 
SIB zu einem Modell verfeinern, das 
eine detaillierte Sicht auf seine eige- 
nen Anwendungsfunktionen bietet. 
Diese hierarchische Betrachtungs- 
weise ermöglicht sowohl ein Top- 
down- als auch ein Bottom-up-Vorge- 
hen im Modellierungsprozess. 


Fazit 


EPF, OpenUP/Basic und jABC bilden 
eine Werkzeugkombination, die dem 
agilen Ansatz folgt und über das übli- 
che Softwareprojektmanagement hinaus 
internationale Entwicklungsvorhaben 
unterstützt. Der Modellierungsprozess 


xMDD verwendet SIBs als standardi- 
siertes Beschreibungsmittel von System- 
bausteinen, die sich an verschiedenen 
Projektstandorten verwenden, auswerten 
und weiterverarbeiten lassen. Obwohl 
die EPF-Einführung mit einigen Auf- 
wand verbunden ist, können vor allem 
kleine und mittlere Entwicklungsteams 
ihre Projekte damit gut strukturieren und 
koordinieren. (jd) 


ELDAR SULTANOW 


arbeitet als J2EE-Entwickler/ Architekt 
bei der Producto AG in Berlin. 
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UltrasPARC 


Suns 15220 mit T2-Prozessor 


Der Niagara-Fall 


Ralph Hülsenbusch 


Hinter dem Codenamen Niagara 2 verbirgt sich ein 
Prozessor, der mehr auf dem Kerbholz hat, als nur mit 
Zahlen zu jonglieren. Das ruft unweigerlich die Ermittler 
auf den Plan, um zu prüfen, wo und wie man mit dem 


UltraSPARC T2 rechnen muss. Auf einer T5220 fand das 
Treffen statt, das Unvorhersehbares ans Licht brachte. 


ER eit Sun Microsystems unter dem 

& Decknamen Niagara den Ultra- 
REP SPARC TI mit besonderem Auf- 
trag aussandte, kursieren Gerüchte über 
dessen Eignung fürs Geschäft. Er sei 
nur ein Lückenbüßer, hieß es, nachdem 
die Familie Fujitsu Siemens Computers 
mit dem SPARC64 VI Suns geplanten 
Coup UltraSPARC V aus dem Rennen 
warf und SPARC-VI-Nachfolger Rock 
auf sich warten lässt — von 2009 ist in- 
zwischen die Rede. Wer die Akten über 
die Beziehungen der SPARCSs unterein- 
ander einsehen möchte, kann das in den 
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nicht geheimen Papieren der Sparc 
International tun (www ..sparc.org). Das 
schafft schon das erste Gerücht aus 
der Welt: Sparc ist nicht (alleine) Sun, 
obwohl das Konzept der „Scalable 
Processor ARChitecture“ (SPARC) 
1985 bei Sun Microsystems in Palo 
Alto entstand. Seit einigen Jahren ver- 
folgt das Unternehmen die Strategie, 
mit offenen Karten neue Partner zu 
gewinnen und andere ins Geschäft 
einzuweihen — das erinnert an die 
Epoche der Sparc-Clones in den 
80ern. Im August 2007 stellte es das 


Design des Open Sparc T2 unter GPL- 
Lizenz und übergab es der Open-Source- 
Community (www.opensparc.net). 


Mehr als ein 
Prozessor im Chip 


Damit lüftet sich das Geheimnis um den 
Sonderfall Niagara. Im Herbst 2007 
stellte Sun den Niagara 2 (T2) vor [1], 
ein System im Chip, konzipiert für gesi- 
cherte Webdienste und Virtualisierung. 
Die Ausrüstung beim Niagara 2 besteht 
aus acht Prozessorkernen mit einem ge- 
meinsamen 4 MByte großen L2-Cache 
(3 MByte noch beim T1) nebst vier Me- 
mory-Management-Units für bis zu 64 
FB-DIMMS, zwei 10-Gigabit-Ethernet- 
Ports, einer PClIe-Schnittstelle und ei- 
nem Hypervisor für bis zu 64 virtuelle 
Domains. Während der TI pro Core vier 
Threads verarbeiten konnte [2], schafft 
der T2 nun acht - in der Summe 64 Re- 
chenaufgaben, die eine CPU zugleich 
bewältigt. Außerdem besitzt der T2 acht 
Floating Point Units, beim TI war es 
nur eine. Das entzieht dem zweiten 
Gerücht den Nährboden: Der Niagara 2 
ist durchaus für Gleitkommaberech- 
nungen zu gebrauchen, Sun selbst er- 
mittelte 62,3 SPECfp_rate2006. Der T2 
führt dort die Rangliste der 1-Chip- 
CPUs im Gleitkommabereich an. 

Aber der T2 hat noch weitere Trümp- 
fe im Ärmel: Er besitzt jetzt zwei ALUs 
(Arithmetisch-Logische Einheiten) pro 
Core mit je einer achtstufigen Pipeline 
(statt bisher sechs) und acht Verschlüs- 
selungseinheiten, pro Core eine. Sun hat 
damit einen besonderen Deal gelandet: 
mit 78,5 SPECint_rate2006 ist er welt- 
weit derzeit der schnellste Chip, obwohl 
ihm Intels Xeon mit vier und IBMs 
Power6 mit zwei Cores im Nacken sit- 
zen. Beim T2 steigt der Energiebedarf 
im Extremfall auf 123 W. Der TI be- 
gnügte sich noch mit 72 W. Das Herz 
des T2 schlägt im 1,2- oder 1,4 GHz- 
Takt in den Coolthreads-Servern 
T5210 und T5220, der Blade T6320 so- 
wie in den Telco-Pendants Netra Blade 
CP3260 und Rackserver T5220. 


Zu leicht befunden 


Eine verlockende Gelegenheit, T2 zu 
stellen, bot sich an der Universität 
Ulm, unterstützt von Sun Microsys- 
tems Deutschland. Ein T5220 mit 32 
GByte RAM und 1,2 GHz schnellem 
UltraSPARC T2 stand per SSH zur 
Verfügung, betreut von Thomas Nau, 
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Quelle: Sun Microsystems 


Kuschelig: In dem 2-U-Ge- 
häuse drängen sich zweimal 
acht Bänke mit FB-DIMMs an 
die Niagara 2 (Abb. 1). 


iX-Autor und Leiter der Abteilung In- 
frastruktur des Kommunikations- und 
Informationszentrums, ein Zusammen- 
schluss des Rechenzentrums mit ande- 
ren Abteilungen wie der Bibliothek, der 
Telekommunikation und weiteren an der 
Universität Ulm. Er hatte die Vorberei- 
tung des Systems übernommen, die 
Compiler installiert und das Betriebssys- 
tem den Vorgaben entsprechend einge- 
richtet. In der ersten Sitzung ging es da- 
rum, den SPEC-Resultaten auf den Zahn 
zu fühlen. Zum Jahreswechsel war auf 
der Website der SPEC noch keine Ver- 
öffentlichung zu finden. Die Konfigura- 
tion der Compiler-Optionen für Suns 
(Forte) Compiler orientierte sich somit 
vorerst an früheren Vorgaben. 


Und 32 


waren nicht genug 


Erste Verdachtsmomente kamen auf, 
als der Job für SPECint_base2006 erst 
nach drei Tagen erledigt war und 
SPECfp_base2006 den ersten Test 
selbst nach zwei Tagen noch nicht ab- 
geschlossen hatte. Erst ein Herabsetzen 
der Optimierung führte zu Ergebnissen. 
Zwar mag eine Einzelbefragung mit nur 
einem Thread dem Können von T2 
nicht entsprechen, aber die Antwort 
„2,14 SPECint_base2006“ verblüfft. 
Die Rechenleistung liegt unter der ei- 
ner UltraSparc III in einer Sun Fire 
3800 (August 2006) und etwa beim 
Doppelten der CPU2006-Referenz, ei- 
ner UltraSparc U. Ein schrittweises 
Heraufsetzen der Optimierung und Öff- 
nen von Schranken per ulimit konnten 
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Quelle: Sun Microsystems 


Etagere: Mehrere PCI-Slots übereinander geben 
Raum für bis zu sechs Karten, mit denen sich die 
Anbindung an SAN und Netz ausbauen lassen 
(Abb. 2). 


dem Aspiranten kein merklich besseres 
Ergebnis entlocken. 

Hochrechnungen führen in die fal- 
sche Richtung, denn acht Threads auf 
einem Core führen nicht zu der acht- 
fachen Rechenleistung, da sie der Core 
in einem Round-Robin-Verfahren be- 
arbeitet. Kurz über den Daumen ge- 
peilt erkennt man, dass 64 mal 2,14 in 
etwa das 1,75-Fache des von Sun er- 
mittelten Wertes ergäbe. 

Der eigentliche Haken verbirgt sich 
an anderer Stelle: Alle Messungen, die 
Sun und FSC zum T2 veröffentlicht ha- 
ben, beziehen sich auf ein System mit 
64 GByte Hauptspeicher und einer 1,4 
GHz schnellen CPU, was einem Preis- 
sprung von 31 995 auf 58 995 US-$ 
gegenüber der Testplattform mit 1,2- 
GHz-CPU und 32 GByte RAM gleich- 
kommt. Bemerkenswertes am Rande: 
FSC konnte mit dem GCC for Sun So- 
laris (gcfss) 83,9 SPECint_cpu2006 
(peak) aus dem T2 herausholen. Dabei 
handelt es sich um ein reines GCC- 
Frontend für die Sun-Studio-Compiler 
(www.opensparc.org). 


Fazit 


Ohne Zweifel hat Sun mit dem Niaga- 
ra 2 eine neue Technik auf den Markt 
gebracht: einen Prozessorchip, der nicht 
nur über acht Cores mit je acht HW- 
Threads verfügt, sondern in dem Ether- 
net- sowie PCI-Controller und vor allem 
pro Core eine Encryption Unit integriert 
sind. Vom „System in a Chip“ können 
vor allem Anwendungen profitieren, die 
eine Verschlüsselung brauchen und auf 


parallele Prozesse ausgelegt sind. Inso- 
fern eignet sich SPECs CPU2006 nur 
bedingt als Benchmark, da die Suite 
zwar parallele Jobs generiert, aber kei- 
ne Threads verwendet. 

Als das Dilemma im Test erwies sich 
die Schwierigkeit, mit solch große An- 
wendungen wie mit der CPU2006-Suite 
zu arbeiten. Bei voller Optimierung 
muss das Betriebssystem vorher so pa- 
rametrisiert sein, dass der Compiler mit 
dem Hauptspeicher zurechtkommt. Wer 
versucht, die Suite mit allen 64 Threads 
laufen zu lassen, muss sich darüber im 
Klaren sein, dass er mindestens 1 GByte 
pro Prozess braucht — mit weniger als 
64 GByte geht es nicht. Sun wirbt mit 
Benchmark-Ergebnissen, die von Nia- 
gara-Maschinen stammen, die mit 16- 
mal 4 GByte Hauptspeicher ausgerüstet 
waren. Das dürfte dem Einsatz in pro- 
fessionellen Umgebungen mit den dort 
üblichen Anwendungen kaum entspre- 
chen. In anderen Disziplinen wie dem 
Java Business Benchmark (JBB2005) 
konnte die T2 sich bisher nur im Mittel- 
feld behaupten. (rh) 
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& schnellster 8-Core-Prozessor 


©® hohe Integration 


© hoher Speicherbedarf 


Sparc Enterprise T5220 Server 


Hardware: UltraSoarc T2, 8 Cores, 8 Threads 
pro Core, 1,2 GHz, 4 MByte L2-Cache; 

32 GByte [16 x 2 GByte FB-DIMMs]; zwei 
146 GByte SAS-HDs; DVD-RW; vier 1-GByte- 
Ethernet, sechs PCle [zwei x8, zwei x4, 

zwei x4 Lane oder XAUI]; 2-U-Rack 

Software: Solaris 10, Support für Linux (Ubuntu), 
Sun Forte Compiler, GCC for Sun Solaris (gecfss) 
Hersteller/Anbieter: Sun Microsystems, 
www.sun.de 


Preis: 25 500 Euro (Teststellung) 
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Remote Desktop 


Desktops aus der Ferne nutzen 


Fernbedienung 


Ralph Hülsenbusch 


Von Hardware über Software bis hin zu Dienstleistungen 
erstrecken sich die Angebote, mit denen man Computer aus 
der Ferne steuern und nutzen kann. Es gibt zwar eine Reihe 
kostenloser Softwarepakete, doch für die Nutzung von jedem 
x-beliebigen Zugang im Internet aus kommt man um 
kommerzielle Lösungen nicht herum. 
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icht nur Administratoren, son- 
N dern auch Nutzer einzelner 

Rechner oder ganzer System- 
landschaften können davon profitieren, 
wenn sie überall dort, wo ein Internet- 
zugang bereitsteht, auf ihre Arbeitsum- 
gebung zugreifen können. Die Spanne 
reicht vom einfachen Synchronisieren 
über gesicherte Zugänge zum System 
bis hin zum Büro im Netz, in dem An- 
bieter passende Software-Stacks zur 
Verfügung stellen. Application Service 
Provider (ASP) erleben eine Renais- 
sance unter dem neuen Etikett „Soft- 
ware as a Service“ (SaaS), wohinter oft 
eine „Service Oriented Architecture“ 
(SOA) steht. Die ersten Versuche Ende 
der 90er etwa von Corel Office und 
Applix Anywhere [1] zeitigten wenig 
Erfolge mangels genügender Netzper- 
formance. Neue Kompressionsverfahren 
und Netztechniken bieten heutzutage ei- 
ne Grundlage, auf der Anwender Appli- 
kationen im Web ohne allzu große 
Verzögerungen im Antwortverhalten 
nutzen können. 

Angesichts der Spannbreite des The- 
mas bleibt eine Eingrenzung unum- 
gänglich. Es geht hier um Software, mit 
der man seinen Desktop als Arbeits- 
mittel über das Internet nutzen kann. 
Hierfür gibt es drei Klassen: 


Desktop zu Desktop 


Die Arbeitsoberfläche des entfernten 
Rechners erscheint 1:1 auf dem Client 
(Duplicated Desktop), wobei entweder 
beide Anzeigen synchron laufen oder 
sich die auf dem remote Computer 
(Host) abschalten lässt. Dieses Verfah- 
ren erfordert Software auf beiden Sei- 
ten in der Art eines Client-Server-Mo- 
dells. Dazu muss der Anwender die 
passenden Rechte auf beiden Systemen 
besitzen. Der Rechner im fernen Büro 
übernimmt die Rolle des Servers, der 
vor Ort die des Client. 

Solche Methoden sind fester Be- 
standteil von Betriebssystemen wie 
Windows und Mac OS X. Bei den 
meisten Linux-Distributionen gehört 
die entsprechende Software mit zum 
Lieferumfang. Das Verfahren ist ein- 
fach in der Anwendung, aber unter Si- 
cherheitsaspekten ausgesprochen hei- 
kel. Außerdem entsteht vor allem bei 
häufigem Orts- und Systemwechsel 
ein nicht zu unterschätzender Verwal- 
tungsaufwand. Deshalb bieten eine 
Reihe von Firmen Alternativen an, die 
ein höheres Maß an Sicherheit verspre- 
chen und die Administration mithilfe 
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REPORT 


Remote Desktop 


von Logs, Datenbanken und Reporting 
vereinfachen. 

— Desktop-Umleitung (Remote Desk- 
top): Systeme, die keinen eigenen Mo- 
nitor-Anschluss besitzen (headless), 
was bei vielen neuartigen Servern und 
Embedded-Systemen, etwa bei Ser- 
vice-Prozessoren, der Fall ist, stellen 
ihre grafische Benutzer-Oberfläche 
samt Ein-/Ausgabe-Steuerung über das 
Netz dar. Meist geschieht das heutzuta- 
ge über einen integrierten Webbrowser 
und Java, was das Installieren von Soft- 
ware auf der „Konsole“ erspart — sofern 
die Java-Version passt. Dazu muss aber 
die IP-Adresse des fernzusteuernden 
Rechners bekannt sein. 

— Desktop-Emulation (Virtual Desk- 
top): Da niemand weiß, über was für 
ein Gerät (Client) der Anwender für 
den Zugriff aus der Ferne gerade ver- 
fügt, packt eine Softwareschicht auf 
dem eigentlichen Arbeitsrechner (Host) 
den Desktop in einen überall nutzbaren 
Code, setzt somit eine virtuelle Maschi- 
ne voraus, meist mit Java. Insofern 
stammt die Methode von den Headless- 
Systemen ab. Das verlangt von den 
Clients aber einiges an Leistung, vor al- 
lem bei der Grafik. Und da man Tasta- 
tur und Maus quasi doppelt nutzen 
muss — auf der lokalen und der entfern- 
ten Oberfläche - hapert es oft bei der 
Synchronisation. 

Deswegen bieten eine Reihe von 
Firmen zusätzliche „native“ Software 
an, die man aber zunächst vor Ort auf 
dem jeweiligen System installieren 
muss. Das schränkt die Freiheit der 
Wahl auf die Geräte ein, auf denen 
man dazu die Rechte hat. Eine Alterna- 
tive bieten Lösungen, bei denen ein 
Hoster die Weiterleitung des Desktops 
über das Internet übernimmt und ihn 
für jeden Browser bereitstellt. 


Arbeitsplatz im Netz 


— Desktop als Dienstleistung (Desktop- 
Provider): Völlig losgelöst vom Schreib- 
tisch im Büro sind die Angebote von 
Dienstleistern (Providern), die dem 
Kunden eine mehr oder weniger kom- 
plette Arbeitsumgebung im Internet an- 
bieten. Dazu muss sich der Anwender 
von der Bindung an den physischen Ar- 
beitsplatz („mein Büro“) befreien kön- 
nen und sozusagen ganz ins Virtuelle 
umziehen. Der Vorteil liegt auf der 
Hand: keine Investitionen in eigene 
Hardware, deren Wartung und Sicher- 
heitstechniken wie Firewalls, zusätzli- 
che Server und Backups. Dem stehen 
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berechtigte Zweifel an der Vertraulich- 
keit der eigenen Daten gegenüber. Zwar 
sind die Verschlüsselungs- und Authen- 
tifizierungsmethoden inzwischen ausge- 
reift, aber das Rennen geht weiter: Jede 
weitere Sicherheitsstufe provoziert neue 
Angriffsmethoden, was wiederum zu 
mehr oder weniger öffentlichen Res- 
triktionen und Kontrollen von staat- 
licher Seite führt. 

— Desktop? Nein danke! (Virtual Appli- 
cation): Für die tägliche Arbeit sind die 
Desktops zu überfrachtet. Dabei geht es 
in allen Fällen nur um eins: Eine Ma- 
schine zu haben, die funktioniert, 
sprich die gewünschten Dinge erledigt. 
Dienstleistungen sind gefragt und da 
reicht es oft vollkommen, wenn bei der 
Sitzung im Netz nur die Geister er- 
scheinen, die man ruft. Der Zugriff auf 
Anwendungen spielt die Hauptrolle. In 
diesem Bereich haben Firmen im Inter- 
net wie Google, Yahoo, Amazon, Ebay 
et cetera erste Ansätze zu bieten. 


Durchs Netz geschleust 


Auf dem ersten Stück des Weges gibt 
es ein breites Angebot für KVM oder 
IP - Keyboard-, Video- und Maussteu- 
erung über das Internet-Protokoll. Sol- 
che Geräte, einst der Not fehlender se- 
rieller Konsolen bei Windows-Servern 
entwachsen, haben sich inzwischen zu 
Appliances gemausert, die mit eigenem 
Webserver an Bord die Fernbedienung 
ins Web verlagern, teils mit Java-, teils 
aus Performancegründen mit nativen 
Clients etwa von Adder, Avocent oder 
Raritan. iX berichtete 2005 darüber [3]. 
Die Remote Control Software gehört 
zur Hardware und ist nicht separat er- 
hältlich. Bei näherem Hinsehen fällt 
aber in den meisten Fällen auf, dass die 
Hersteller sich aus dem Topf der Open 
Software bedienen. 


A-TRACT 


© Remote-Control-Software erlaubt 
den Zugriff auf Rechner über das 
Netz von beliebiger Stelle aus. 


© Das Spektrum reicht von der reinen 
Administration bis hin zur Nutzung 
von Anwendungen. 


© Für den reinen Anwender sind 
Angebote, die den Desktop oder 
Applikationen im Internet bereit- 
stellen, einfach zu nutzen. 


Gestandene iX-Leser mit Unix-, Li- 
nux- oder BSD-Vorlieben dürften sich 
über die Frage wundern, was man für 
den Remote-Zugriff denn an kommer- 
zieller Software braucht. Schließlich 
bieten SSH, Virtual Private Network 
(VPN) und Virtual Network Compu- 
ting (VNC) nebst rdesktop alles, was 
man braucht. Mit etwas Hintergrund- 
kenntnissen und Spaß am Probieren 
kann man sogar in gemischten Umge- 
bungen mit Unix, Linux, BSD, Win- 
dows und Mac OS arbeiten, allerdings 
mit Zugeständnissen meist an die Tas- 
tatur-Emulationen aus der Ferne [4]. 
Windows-Nutzer können da nur mit 
den Schultern zucken. Alles, was sie 
für den Zugriff brauchen, ist im Ge- 
päck: Remote Desktop, Terminalser- 
vices und telnet. Außerdem hat man 
schnell per Download ein Putty nebst 
WinSCP für den Zugriff auf und den 
Datenaustausch mit Nicht-Windows- 
Systemen installiert. Nur einen Haken 
hat die Sache, denn das funktioniert nur 
in definierten Umgebungen innerhalb 
von LANs, über VPN-Verbindungen 
mit festen IP-Adressen. 


Gewachsenes Risiko 


Inzwischen geht das alles weltweit 
übers Internet und gibt durchaus An- 
lass zur Sorge. Firewalls, IP-Filter und 
Verschlüsselungstechniken versuchen 
Schlimmstes zu verhindern. Doch 
selbst das klassische Out-of-Band- 
Netz, über das Administratoren inner- 
halb der eigenen IT-Struktur ihre Syste- 
me unter Kontrolle halten, streckt seine 
Fühler ins weltweite Netz aus. Denn 
Zeit ist Geld, und wenn der Admin es 
mal eben vom nächsten Rechner aus 
richten kann, spart das eine Menge Geld 
und Nerven. Server besitzen heutzutage 
einen eigenen Service-Prozessor, teils 
on-board, teils in einer speziellen klei- 
nen Huckepack-Platine mit eigenem 
Ethernet- und manchmal zusätzlichem 
seriellen Anschluss. Da setzen Herstel- 
ler wie Dell, FSC, HP, IBM und Sun 
ihre eigene Marke und verteilen die per 
IPMI gewonnenen Daten über Tempe- 
raturen, Spannungen und Lüfterdreh- 
zahl auf proprietären Browser-Oberflä- 
chen. Über die kann, wer Zugang hat, 
Rechner aus der Ferne aus- und wieder 
einschalten. 

An die Grenzen der Bedienbarkeit 
stößt man, wenn man etwa eine Kon- 
sole starten muss, um Software-Up- 
dates zu fahren oder Einstellungen am 
BIOS zu verändern. Bei den heutzutage 
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REPORT 


Remote Desktop 


Produkt Anyplace 4.3.1 

Hersteller Anyplace Control 

Ort Ukraine 

Website www.anyplace-control.com 
E-Mail sales@anyplace-control.com 
Kategorie Remote Control (C/S) 
Sprache mehrsprachig 

Trial-Version 30 Tage, volle Version 

freie Grundversion nein 

Lizenz pro Nutzer 


Upgrade u. Support 
Preise 


kostenpflichtig 
Basic einmalig 38,95 US, 
Premium 49,50 US-$ p.a. 


Host 

Windows 95/98 /ME/XP/Nista/2k/2k3 
Linux nein 

Mac 05 nein 

Unix nein 

andere nein 

Client (Viewer) 

Browser für Webbrowser in Arbeit 
Web-Java nein 

Windows nativ 95,/98/ME/XP/Vista/2k/2k3 
Linux nativ nein 

Mac 05 nativ nein 

Unix nativ nein 
Sicherheitstechniken 

Gateway nein 
Nameserver nein 

Sicherheit CHAP/RCA(128) 
SSH nein 
Verschlüsselung 128 Bit RC4 
Passwort-Stärke k.A. 
Authentifizierung nein 
Zusatzschutz Host-Passwort 
Ressourcen 

Audio (Voice) nein 

Video nein 

Drucker nein 

lokale Medien nein 
Kompression ja 
Dateiübertragung ja 

Drag&Drop ja 

Konferenz (Text) ja 

Logging ja 

Monitoring - 
Besonderheiten - 


GoTo My PC 

Gitrix-Online 

Santa Barbara Cal./USA 
www.gotomypc.com 
gotopro@citrixonline.com 
Remote Desktop 

englisch 

30 Tage, 1 PC, (Abovertrag) 
nein 

pro PC 

k.A. 

15,99 Euro/Monat pro PC, 
jeder weitere 11,99 


2k, 2k3 
nein 
nein 
nein 
nein 


handelsübliche Webbrowser 


nein 

95,/98/ME/XP 

ab Firefox 2.0, Netscape 7.0, 
Sun Java 


Mac 05 10.3.9, Firefox 1.0, 
MR) 2.2.5 


Solaris 


nein 
nein 
nein 


nein 
128 Bit AES 


ja 
nein 
doppeltes Passwort 


ja 
nein 
kA. 


multiple Monitors, Pocketview 


nahezu unvermeidlichen grafischen 
Bedienoberflächen hapert es oft an 
Performance und Synchronisation vor 
allem zwischen Mausbewegung und 
-zeiger auf der fernen Oberfläche. Für 
einfache administrative Aktionen mag 
das noch erträglich sein, flüssiges Ar- 
beiten ist damit nicht möglich. Einige 
Firmen bieten umfangreiche Software- 
pakete für die Systemverwaltung, mit 
denen Administratoren die gesamte 
IT-Umgebung im Blick behalten kön- 
nen und die sich an große Verwal- 
tungs-Frameworks wie Tivoli, HPs 
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Openview und Novells ZENworks an- 
binden lassen. 

Taucht man hinab in die Untiefen der 
Remote-Control-Verfahren, trifft man 
auf zwei Strömungen: das Remote Desk- 
top Protocol (RDP) und das Remote 
Framebuffer Protocol (RFP). Es geht da- 
rum, die grafische Darstellung sowie die 
Interaktion umzulenken und zu kanali- 
sieren. Auf der Open-Source-Seite ste- 
hen dafür Tools wie rdesktop für RDP 
und zig Varianten des Virtual Network 
Computing (VNC) mit dem RFP zur 
Verfügung. Unter Unix, Linux und BSD 


HOB RD VPN Laplink Everywhere 
HOB GmbH Laplink 

Cadolzburg Bellevue, Was. /USA 
www.hob.de www.laplink.com 
marketing@hob.de über Site 

Desktop Sharing Remote Desktop 
mehrsprachig mehrsprachig 

max. 4 Wochen 15 Tage, volle Version 
nein nein 

k.A. pro PC 

kA. kA. 

auf Anfrage 9,95 Euro/Monat pro PC 
XP, 2k, 2k3 98SE/ME/2000/XP /iste 
11 nein 

nein nein 

ja nein 

Terminal Edition nein 

Webbrowser IE7 

ja ja 

XP, 2k, 2k3 ActiveX 

11 nein 

nein nein 

nein nein 

VPN, WebSecureProxy - 


SSL 3, Radius, Smartcard 


128 Bit SSL (Zusatz) 


nein nein 
AS (128/192/256), 3DES, RC4, k.A. 
Blowfish, CASt, DES, DES_IV32, DES_IV64 

Länge kA. 
DAP - 
PSec (RFC 2401-H) - 
ja nein 
ja nein 
ja nein 
ja nein 
ja k.A. 
ja ja 
ja nein 
nein ja 
ja nein 


personal Firewall 


Handheld, Google Desktop 
PC-Suche 


fungiert der VNC-Server als eigener 
X11-Server. Da in der Regel ein X11- 
Server läuft, belegt VNC den Desktop 
„1“. Unter Windows und Mac OS X 
oder anderen Betriebssystemen nutzt 
VNC den Desktop ,,:0“, es sei denn, je- 
mand hat einen X11-Server nachinstal- 
liert. VNC bildet oft die Grundlage für 
kommerzielle Lösungen und Appliances. 
Inzwischen haben sich eine Reihe von 
Ablegern entwickelt, etwa RealVNC, 
TightVNC oder UltraVNC und andere. 

Aber die Frage, welches Protokoll 
letztlich die Verbindung regelt, tritt 
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LogMeln/LoMeln Pro NTRconnect Free/Pro 
Logmein Inc. NIR Global 

Woburn, Ma./USA Barcelona, Spanien 
secure.logmein.com www.ntrconnect.com 
über Site über Site 

Desktop Provider Remote Desktop 
mehrsprachig mehrsprachig 

30 Tage oder 120 Min. 30 Tage (Pro-Version) 
ja Free-Version 

pro PC pro PC (Free: 2) 
k.A. per E-Mail 


5 PCs für 19,75 US-$ /Monat 


6,95 Euro/Monat pro PC 


ab 98 ab 95 

nein nein 

in Entwicklung Mac 05 X 10.2 

nein nein 

nein nein 

IE7 IE7, Netscape, Mozilla, Firefox, 
Camino und Safari 

ja ja 

ActiveX nein 

! nein 

= nein 

n nein 

Pro Hoster 


128/256 Bit SSL, IP-Filter, HMACSHA 


Passwort, IP-Filter, 


Zeitgrenzen 
nein nein 
256 Bit AES (MOOP) 256 Bit AES 
k.A. min. 6 Zeichen 
HMACSHAI - 
k.A. Keycard 
Pro nein 
Pro nein 
Pro nein 
Pro nein 
ja fest 
Pro ja 
Pro nein 
Pro nein 
ja nein 
- Pocket-PC 


gegenüber der nach der Sicherheit in 
den Hintergrund. Schließlich geht es 
um einen sensiblen Bereich, in dem 
niemand möchte, dass ihm ein uner- 
kannter Fremder über die Schulter 
schaut oder Kollegen verwundert und 
amüsiert dem geisterhaften Treiben auf 
dem Desktop zuschauen, weil die Re- 
mote-Desktop-Software die Anzeige 
des entfernten Rechners im Büro nicht 
abgeschaltet hat. Verschlüsselungs- 
techniken sind ein Muss, ein zusätzli- 
ches Passwort oder eine spezielle ID 
bieten zusätzliche Sicherheit. Die An- 
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Remote PC Teamviewer 

Pro Softnet Corporation TeamViewer GmbH 
Woodland Hills Ca./USA Uhingen 
www.remofepc.com www.teamviewer.com 
info@remotepc.com sales@teamviewer.com 
Remote Desktop Desktop Sharing 
englisch mehrsprachig 

30 Tage (Full) für Tests 

nein für Privatanwender 
pro PC pro Nutzung 

kA. Tickets (Browser) 


4,95 US-$/Monat pro PC 149 Euro (6 Monate), 


499 Euro dauerhaft 


XP, Vista, 2k, 2k3 (>SP4) ab 98 
nein nein 
nein nein 
nein nein 
nein nein 
Webbrowser Explorer, Firefox 
ja nein 

- ab 98 
nein nein 
nein nein 
nein nein 
Hoster Hoster 
128 SSL RSAYRCA 
nein nein 

128 RC4 - 

min. 4 Zeichen Sitzungs-ID 
kA. Host-Key 
nein nein 
nein nein 

ja nein 
nein nein 

ja ja 

ja nein 
nein nein 
nein ja 

ja ja 


Remote Data (Zugriff auf Mail USB-Stick-Version 


und Dateien) 


bieter von Remote-Control-Software 
werben damit, dass sich der Anwender 
weder um Firewall-Konfigurationen 
noch um die Internet-Adressen küm- 
mern muss, da sollten keine offenen 
Angriffspunkte vorhanden sein. 

Bei kurzen Tests fiel auf, dass sich 
einige Entwickler um die Qualität der 
Passworte offensichtlich wenig küm- 
mern, während andere restriktiv ein 
Mindestmaß an Länge und Komple- 
xität verlangen. Außerdem gibt es 
Unterschiede in der Qualität der Ver- 
schlüsselung. 


Fazit 


Stolperkanten verbergen sich bei den 
Produkten noch an anderen Stellen. 
Nur wenige unterstützen auf der Ser- 
ver-Seite Mac OS X oder Unix respek- 
tive Linux. Bei den Clients gibt es Ein- 
schränkungen, wenn sie ActiveX 
erfordern. Sie binden sich damit unwei- 
gerlich an Windows, oft gar an den 
Internet Explorer. 

Alle Hersteller bieten eine Probever- 
sion zum Test an, NTR Global eine 
freie Variante, Teamviewer stellt sein 
Desktop-Sharing privaten Anwendern 
frei zur Verfügung. Bei den Lizenzen 
gibt es zwei Modelle: pro Benutzer 
oder pro PC, gemeint ist der Arbeits- 
platzrechner, auf den man zugreifen 
will. Etwas uneinheitlich verhalten sich 
die Firmen bei den Preisangaben. 
Selbst bei denen, die eine deutschspra- 
chige Site betreiben, finden Kunden 
nur Angaben in US-$. In allen Fällen 
empfiehlt es sich, das Angebot für die 
eigene Umgebung zu erproben. 

Zwar besticht Remote PC von der 
Pro Softnet Corporation durch einen 
günstigen Preis, wirkte aber sogar im 
LAN ausgesprochen träge. Den mit 
Abstand höchsten Mietpreis verlangt 
Teamviewer. Er ist aber der einzige, 
der mit einer Dauerlizenz zu haben ist, 
die sich nach wenigen Jahren amortisie- 
ren dürfte. In jedem Fall sollte man die 
Preise vor einer Entscheidung eruieren, 
denn sie sind gerade in der Branche 
großen Schwankungen unterworfen. 

Aspekte wie Service und Support 
spielen eine zusätzliche Rolle, die oft 
nur über Nachfrage zu klären ist. Re- 
mote-Controll-Software und speziell 
die Lösungen für Remote-Desktops 
gewinnen angesichts der wachsenden 
Mobilität an Bedeutung, brauchen schon 
allein deshalb eine gute Unterstützung 
vonseiten der Hersteller. (rh) 
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REPORT 


Steganografie 


Datentransport in versteckten Übertragungskanälen 


nzählige Legenden ranken sich 
U darum, wie Geheimdienstagenten 

und ihre Informanten in Zeiten 
des kalten Kriegs wichtige Nachrichten 
aus dem Land des Gegners schaffen 
und dabei Leib und Leben riskieren 
mussten. Dank des Internet und kryp- 
tografischer Verfahren scheint es auf 
den ersten Blick inzwischen deutlich 
leichter zu sein, vertrauliche Nachrich- 
ten geschützt zu übermitteln. 

Das Verschlüsseln von Daten kann 
zwar verhindern, dass Unbefugte die 
geschützten Informationen nutzen, 
doch es hilft kaum dabei, Nachrichten 
unbemerkt zu versenden. Denn wenn 
auch der Inhalt unsichtbar bleibt, lässt 
sich dennoch nicht verheimlichen, dass 
Information fließt und eine Kommuni- 
kation stattfindet. Es ist ungefähr so, 
als wenn man versuchte, etwas durch 
den Zoll zu schmuggeln, indem man es 
in einem Tresor transportiert. 

Ein Beispiel aus der Welt der Infor- 
matik ist das Kommunikationsverhalten 
von Malware, das gerade zur Entde- 
ckung solch unerwünschter Programme 
führen kann. Einige Schadprogramme 
kontaktieren andere Rechner über das 
Internet, etwa in Bot-Netzen. Selbst 
wenn diese Kommunikation verschlüs- 
selt abläuft oder ihr Inhalt nicht weiter 
beobachtet wird, kann der ungewöhnli- 
che Verkehr zwischen dem befallenen 
Rechner und den kontaktierten Maschi- 
nen doch auffallen und so zur Entde- 
ckung der Schadsoftware führen, auch 
wenn man nicht genau nachvollziehen 
kann, welche Information die Malware 
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Versteckspiel 


Martin Kappes, Andreas Renner 


TCP/IP-Netze transportieren Unmengen an Daten. Nicht alle 
müssen sich an den dafür vorgesehenen Stellen befinden: So 
können Header-Felder mehr Informationen enthalten, als auf 


den ersten Blick erkennbar ist. 


weitergeleitet hat. Allein die Kenntnis 
von Verbindungsdaten kann ein wichti- 
ges Indiz für bestimmte Vorgänge sein. 


Zwischen den 
Zeilen übertragen 


Mit der Frage, wie man unbemerkt In- 
formationen übermitteln kann, bei- 
spielsweise indem man sie in einer 
Nachricht mit scheinbar harmlosem In- 
halt versteckt, beschäftigt sich die Ste- 
ganografie. Klassisches Beispiel eines 
steganografischen Verfahrens ist die 
Verwendung unsichtbarer Geheimtinte 
zum Verstecken einer Botschaft in einem 
scheinbar harmlosen Brief. Mit Spezial- 
tinte, die erst durch eine Sonderbehand- 
lung (Schwärzen mit Ruß et cetera) 
sichtbar wird, kann der Absender in dem 
Brief eine geheime Botschaft verstecken. 

In der elektronischen Datenverarbei- 
tung ist die Steganografie zu neuen Eh- 
ren gekommen. Eine der bekanntesten 
Anwendungen ist das Verstecken von 
Botschaften in Bildern oder Audioda- 
teien. Bestimmte Bildformate enthalten 
für jedes Pixel eine sehr detaillierte 
Farbinformation. Geringfügige Verän- 
derungen der Farbinformation fallen 


einem menschlichen Betrachter nicht 
auf, sodass man das letzte Bit der Farb- 
information zum Verstecken von Nach- 
richten nutzen kann. In einem unkom- 
primierten Bild mit 1280 x 1024 Pixeln 
lassen sich auf diese Weise beachtliche 
160 KByte verstecken. 

Diese Vorgehensweise bildet auch 
den Grundstein für digitale Wasserzei- 
chen. In bestimmten Teilen eines Bil- 
des befinden sich Informationen, die 
für einen Betrachter nicht wahrnehm- 
bar sind. Digitale Wasserzeichen lassen 
sich etwa zur Nachverfolgung von 
Bildquellen einsetzen. Natürlich kann 
eine steganografisch übertragene Nach- 
richt zusätzlich verschlüsselt werden. 


Netzwerk- 
oder Datensicherheit 


Steganografie ist nicht auf das Verste- 
cken von Informationen in Anwen- 
dungsdaten beschränkt, sondern kann 
auch beim Transport von Daten über das 
Internet zum Einsatz kommen [2-4]. Be- 
vor ein Datenpaket einen Rechner ver- 
lässt und einen anderen erreicht, beschäf- 
tigt es nacheinander eine ganze Reihe 
von Netzwerkprotokollen (Abb. 1). 
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Anwendungsschicht Nutzdaten 


Transportschicht 


Heer Nitzeten]| 


IP 
TCP Segment 


Vermittlungsschicht 


i Ri H Y 
Netzzugangsschicht = IP Paket Be Bee IP Paket Here] 


Sender 


Die für das Verstecken von Daten 
interessanten Schichten im Internet- 
Protokollstapel sind die Datenverbin- 
dungsschicht, die Netzwerkschicht 
(IP) und die Transportschicht, auf der 
entweder das Transmission Control 
Protocol (TCP) oder das User Data- 
gram Protocol (UDP) zum Einsatz 
kommt. Die Header-Daten der Trans- 
portprotokolle werden normalerweise 
ausschließlich von den beiden kom- 
munizierenden Endsystemen geschrie- 
ben oder gelesen. 

Beim Versenden von Daten werden 
die Schichten von oben nach unten 
durchlaufen, und jedes verwendete Pro- 
tokoll hängt jeweils notwendige Verwal- 
tungs- und Steuerungsinformationen in 
Form eines Headers oder Trailers an die 
Nutzdaten an. Auf der Empfängerseite 
werden die Schichten in umgekehrter 
Reihenfolge von unten nach oben durch- 
laufen und dabei die Header wieder ent- 
fernt, bis nur noch die ursprünglich ver- 
sendeten Nutzdaten übrig bleiben [1]. 


Zur freien Verwendung 


Header-Daten benötigen die Protokol- 
le dafür, ihre jeweilige Aufgabe erfül- 
len zu können. Da die Protokolle der 
verschiedenen Schichten ganz unter- 
schiedliche Aufgaben übernehmen, 
können sich die in den einzelnen Fel- 
dern des Headers enthaltenen Verwal- 
tungsinformationen in Bezug auf Art, 
Inhalt und Darstellung von Protokoll 
zu Protokoll stark voneinander unter- 
scheiden. 

IP-Header enthalten unter anderem 
die Quell- und Zieladresse des Daten- 
pakets (Abb. 2). Doch es gibt auch Hea- 
der-Felder, die unter bestimmten Um- 
ständen vollkommen ignoriert werden 
oder solche, die nur einen geringen Ein- 
fluss auf die Paketbehandlung haben. 
Nicht alle Header-Felder spielen für die 
Behandlung der Pakete durch das je- 
weilige Protokoll eine Rolle, und so 
lassen sich einige davon für andere als 
die vorgesehenen Zwecke nutzen. 
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Das Schichtenmodell veranschaulicht die Reise der 
Nutzdaten über ein TCP/IP-Netzwerk vom Sender zum 


Empfänger (Abb. 1). 


IP 
TCP Segment 


Router (Hop) 


Ein Beispiel im IP-Header ist das 16 
Bit große Feld „IP-Identification‘“, kurz 
IP-ID. Es dient laut RFC 791 dazu, im 
Falle einer Fragmentierung die Teile den 
ursprünglichen Paketen zuzuordnen. 
Dazu muss der Absender die IP-ID so 
wählen, dass sie gemeinsam mit Quell- 
und Zieladresse des Pakets eine Ver- 
wechslung mit Fragmenten anderer Pa- 
kete ausschließt. Man kann dies aber 
auch sicherstellen, ohne dieses Feld 
voll auszunutzen. Zudem wird die IP- 
Fragmentierung heutzutage weitgehend 
mittels Path-MTU-Discovery vermie- 
den. Dementsprechend ist in fast allen 
IP-Paketen das „Don’t fragment“-Bit 
gesetzt, das die Zerlegung des betreffen- 
den Pakets verbietet. Das daher heute oft 
nicht mehr relevante IP-ID-Feld eignet 
sich wunderbar dazu, Daten versteckt zu 
transportieren — 2 Byte pro IP-Paket. 

Es gibt verschiedene Szenarien, die 
Manipulation von Header-Feldern zur 
verdeckten Informationsübermittlung 
zu nutzen: 

Gesetzt den Fall, Alice möchte sich 
mit ihrem alten Bekannten Dave in ei- 
nem Restaurant treffen und dafür einen 
Zeitpunkt vereinbaren. Hiervon soll 
Alices Mann Bob aber keinesfalls et- 
was erfahren, denn er neigt zu rasender 
Eifersucht. Deshalb liest Bob in Alice 
und Bobs gemeinsamen Heimnetzwerk 
unter Missachtung aller strafrechtlich 
relevanten Bestimmungen alle E-Mails 


A-TRACT 


@ Die Internet-Protokolle bieten in 
nicht benötigen Teilen der Daten- 
pakete zahlreiche Optionen zum 
Verstecken von Informationen. 


@ Gut zehn Prozent der Nutzdaten 
lassen sich über verdeckte Kanäle 
transportieren, die normale Anwen- 
dungen nicht erfassen. 


© Vorsorgemaßnahmen in der eigenen 
Netztopologie können verhindern, 
dass versteckte Daten das eigene 
Netz verlassen. 
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Nutzdaten 
A L 


Nutzdaten 


ed | 
Header| CP Segment 
[ee IP Paket 5 


Empfänger 


und Instant Messages mit, die Alice 
versendet. Alice weiß das und verwirft 
deshalb sofort die Idee, mit Dave ein- 
fach verschlüsselt zu kommunizieren, 
da dies Bob nur noch misstrauischer 
machen würde. 

Sie entschließt sich stattdessen, ei- 
nen eigenen Webserver zu betreiben 
und einigen Freunden, unter anderem 
Dave, dessen Adresse zu geben. Immer 
dann, wenn eine Anfrage von Daves 
IP-Adresse kommt, versteckt Alice 
ein paar Byte in den Antwortpaketen. 
Ebenso kann Dave in den Anfragen 
unauffällig Informationen unterbringen, 
sodass die beiden auf diese Weise ei- 
nen Dialog führen können. Treffpunkt 
und Zeitpunkt lassen sich mit wenigen 
Paketen vereinbaren, ohne dass Bob 
Verdacht schöpft. 

In einem zweiten Szenario hat sich 
Bob auf seinem Rechner einen „Troja- 
ner“ von Eve eingefangen. Das Über- 
wachungsprogramm soll Informationen 
von Bobs PC möglichst unauffällig 
nach draußen transportieren (Abb. 3). 
Eve hat zudem sichergestellt, dass Pa- 
kete an bestimmte IP-Adressen (oder 
sogar alle Pakete), die Bob über seinen 
Internet-Provider versendet und emp- 
fängt, über einen Computer unter Eves 
Kontrolle laufen. So kann sie das Hea- 
der-Feld dafür nutzen, Informationen 
von Bobs Computer unbemerkt auszu- 
schleusen und dem von ihr installierten 
Trojaner Instruktionen zuzusenden. 


Je einfacher, desto besser 


Steganografie mithilfe der Header von 
Netzprotokollen bietet einige wesentli- 
che Vorteile gegenüber dem Verste- 
cken von Daten auf der Anwendungs- 
schicht. Gerade im zweiten Szenario 
kann ein Überwachungsprogramm die 
Pakete während deren Bearbeitung 
durch das System manipulieren und die 
eingehenden Pakete ebenfalls auswer- 
ten. Das Einfügen und Auslesen der 
versteckten Daten erfordert keine 
Kenntnisse oder Annahmen über den 
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Charakter der zugrunde liegenden 
Kommunikation. Dies ermöglicht eine 
vergleichsweise einfache Realisierung, 
bei verdeckt arbeitenden Programmen 
besonders wichtig. 

Dazu kommt, dass sich auf diese Art 
dauerhaft und stetig Daten transportie- 
ren lassen, da ein Arbeitsplatzrechner 
üblicherweise ständig IP-Pakete versen- 
det — sei es zum Abrufen der E-Mails, 
von Webseiten oder durch Peer-to-Peer- 
Aktivität. 

Eine technische Umsetzung solcher 
Verfahren ist beispielsweise unter Li- 
nux denkbar einfach. Die Kernel-Kom- 


Options 
TCP/DP 


ponente der Linux-Firewall „Netfilter“ 
stellt eine Reihe sogenannter „Hooks“ 
bereit, die Netzwerkpakete zwecks Ma- 
nipulation abfangen können. 

In einem Kernel-Modul kann man 
dem Netfilter-Framework eine Call- 
back-Funktion übergeben, die immer 
dann aufgerufen wird, wenn ein inter- 
essantes Datenpaket den Hook passiert. 
In einer Datenstruktur bestimmt man 
den Namen der Callback-Funktion und 
an welchen Paketen man Interesse hat. 

Bei jedem Aufruf wird der Callback- 
Funktion der „Socket Buffer“ (skb) 
übergeben, der das Paket selbst sowie 


Eignung der Header-Felder zum 
Verstecken von Dateien: 


OD gut 
20 Bytes möglicherweise 
I] überhaupt nicht 
0-40 Bytes 


Bobs PC 


Userspace 


IP Header i l I 


: r— manipuliertes IP ID-Feld ; 
V Y 


IP Header 
Kernel IP Header 


manipuliertes IP ID-Feld ; 


! | Instruktionen 5 
' | für den Trojaner 


Eves PC 


wiederhergestellte, 
ausspionierte Daten 


Instruktionen für 
den Trojaner 


| > 
H [ R A H 
manipuliertes IP ID-Feld : i ; ; 
IP Header [EEE PPEEPPEPFSPRFEF Teer; RN, 


Webserver 


Userspace 


IP Header 


Userspace 


Kernel 


IP Header 


Oben: Eve erhält die Daten, die der Trojaner auf Bobs PC sammelt und im 
IP-Header versteckt. Unten: Eve schleust Instruktionen für ihren Trojaner auf 
Bobs PC in den Datenverkehr des Webservers ein (Abb. 3). 
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Metainformationen wie das ausgehen- 
de Netzwerk-Device enthält. In diesem 
Socket Buffer lassen sich die IP-Hea- 
der-Felder einfach durch Zuweisung 
ändern. Nach jeder Änderung muss die 
Prüfsumme (checksum) erneut berech- 
net werden, da sonst der nächste Router 
das Paket verwirft. Nach dem Rück- 
sprung aus der Callback-Funktion läuft 
das Paket normal weiter, in diesem Fall 
also über das ausgehende Device. 

Ein Kernelmodul, das die hier be- 
schriebene Funktion umsetzt, umfasst 
weniger als 500 Zeilen C-Code. Die zu 
versendenden Daten sind beliebig wähl- 
bar. Als Datenquellen wären beispiels- 
weise ein „Character Device“, Dateien 
vom lokalen Dateisystem oder auch die 
Tastatureingaben des Benutzers („Key- 
logger“) denkbar. 


Weite und zu weite Felder 


Außer der IP-ID eignen sich weitere 
Header-Felder zum Verstecken von Da- 
ten, insbesondere im Rahmen von TCP. 
Infrage kommen prinzipiell alle Fel- 
der, deren Veränderungen die Semantik 
nicht merklich beeinflussen, was zu ei- 
ner Beeinträchtigung der Netzwerkkom- 
munikation führen könnte. Insbesonde- 
re der 2 Byte lange TCP-Urgent-Pointer 
bietet sich an, der auf das Ende vorzugs- 
weise zu bearbeitender Daten innerhalb 
der Nutzlast zeigt. Ihn interpretieren 
Netz-Devices nur bei gesetztem URG- 
Flag. Im Gegensatz zur üblichen Vor- 
gehensweise, ungenutzte Felder auf Null 
zu setzen, ist der Wert des Urgent Poin- 
ter bei nicht gesetztem URG-Flag nicht 
spezifiziert. Damit lassen sich diese 
2 Byte sogar RFC-konform für beliebige 
Daten nutzen. 

Für das subtile Unterbringen größe- 
rer Datenmengen in einem Paket bie- 
ten sich sogenannte Header-Optionen 
an, die sowohl IP als auch TCP vorse- 
hen (Abb. 4). Optionen müssen, wie 
der Name schon andeutet, nicht vor- 
kommen, bieten aber zusätzlichen Platz 
zum Verstecken von Daten. Zu den be- 
kannteren IP-Optionen zählt „Record 
Route“, die einen Bereich im Header 
freihält, in den die Hops auf dem Weg 
ihre IP-Adresse eintragen. Anstelle 
von IP-Adressen kann man natürlich 
auch eine Nachricht in dem Freiraum 
verstecken. Netzwerkanalyse-Tools wür- 
den den Inhalt als IP-Adressen inter- 
pretieren, was das Entdecken der Nach- 
richt erschwert. 

Man kann sogar noch einen Schritt 
weiter gehen: TCP kennt zwei spezielle, 
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ein Byte lange Optionen: „No Opera- 
tion“ (NOP) und „End of Option List“ 
(EOL). NOPs dienen der Anordnung 
(Padding), da die Länge der Optionen 
einem Vielfachen von 4 Byte entspre- 
chen muss. Auf das EOL-Byte folgen- 
de Bytes im TCP-Header werden nicht 
mehr interpretiert. So können fast alle 
ungenutzten Bytes der maximal 40 Byte 
großen TCP-Header-Optionen dem Ver- 
stecken von Daten dienen. Dafür sind 
lediglich ein NOP- und ein EOL-Byte 
an die eventuell bereits vorhandenen 
Optionen anzufügen. Die restlichen 
Bytes, die die Differenz zur maxima- 
len Optionslänge bilden, stehen so zur 
freien Verfügung, da ein TCP/IP-Stack 
sie ignoriert. 

Innerhalb eines LAN-Segments las- 
sen sich sogar deutlich größere Daten- 
mengen unauffällig mitsenden. Der IP- 
Header enthält ein Feld namens ‚Total 
Length“, das die Gesamtlänge des IP- 
Pakets angibt. Doch die dort angegebe- 
ne Länge muss nicht mit der tatsächlich 
auf der Datenverbindungsschicht über- 
tragenen Nutzlast übereinstimmen, son- 
dern kann kleiner sein. Genau dieser 
Platz lässt sich im Frame des Datenver- 
bindungsschicht-Protokolls dafür nut- 
zen, Informationen zu verstecken. 

In lokalen Netzen kommt üblicher- 
weise Ethernet zum Einsatz, das eine 
maximale Frame-Größe (MTU) von 
1500 Byte zulässt. Die Differenz zwi- 
schen der MTU und der Größe des IP- 
Pakets lässt sich so zum Verstecken von 
Daten verwenden. Da viele der gesen- 
deten IP-Pakete verhältnismäßig klein 
sind (etwa TCP-ACKs), kann diese 


Methode zu einem beachtlichen Daten- 
durchsatz führen. Da der IP-Stack alle 
hinter den im „Total Length“-Feld an- 
gegebenen Daten ignoriert, beeinträch- 
tigt diese Methode die Kommunikation 
auf IP-Ebene nicht. Allerdings hat dies 
auch zur Folge, dass der erste Router die 
so versteckten Daten ebenfalls ignoriert 
und daher vor dem Weiterleiten ent- 
fernt. Auf diese Weise versteckte Infor- 
mationen sind daher nur im jeweiligen 
Netzsegment verfügbar. 


Modem-Durchsatz 
versteckt übertragen 


Den höchsten Durchsatz erhält, wer die 
Methoden zur heimlichen Unterbrin- 
gung der Daten miteinander kombiniert. 
Zur experimentellen Ermittlung typi- 
scher Werte für die Größe der in einem 
Paket tatsächlich maximal versteckbaren 
Datenmenge diente ein Linux-Desktop- 
System, auf dem ein Bittorrent-Client 
lief und das E-Mails sowie Webseiten 
abrief. Die Daten wurden soweit mög- 
lich in der IP-ID, dem TCP Urgent Poin- 
ter und in den TCP-Optionen unter- 
gebracht. 

Im Durchschnitt ließen sich auf die- 
se Weise 30 Byte pro Paket versenden, 
immerhin etwa 11 % der Gesamtdaten- 
menge. So lässt sich das Äquivalent 
zum guten, alten 14,4-kbps-Modem in 
einem zu zwei Dritteln ausgelasteten 
Upstream eines typischen 2-Mbps- 
DSL-Anschlusses unterbringen. 

So schön das Unterbringen von ge- 
heimen Daten in den Header-Feldern 


auch ist, wirklich unauffällig bleibt der 
Transport nur, wenn die Änderung der 
Header-Daten keine unerwünschten 
Auswirkungen auf die Kommunikation 
hat. Änderungen an den IP-Adressen 
oder TCP-Portnummern scheiden somit 
aus, denn dann würden die Pakete ih- 
ren Bestimmungsort nicht mehr errei- 
chen. Das Manipulieren der Felder 
„ICP Sequence“ und „TCP Acknow- 
ledgement Number“ würde zu unnöti- 
gerweise wiederholten Übertragungen 
führen und damit den Durchsatz redu- 
zieren. Das Feld „Time to Live“ (TTL) 
wird von jedem Router auf dem Weg 
zum Ziel um eins dekrementiert, und 
die Anzahl der Router auf dem Weg 
kann für jedes Paket anders sein. 

Nicht alle Header-Felder, die auf den 
ersten Blick geeignet erscheinen, über- 
stehen ihre Reise unbeschadet. Wendet 
man etwa den „Trick“ mit den TCP-Op- 
tionen auf IP an, kann es passieren, dass 
der empfangende IP-Stack alle Bytes 
hinter der Markierung „End of Option 
List“ auf Null setzt. Generell sollte man 
darauf verzichten, IP-Optionen zu ver- 
wenden. Selbst Pakete mit den „harm- 
losen“ Optionen „Record Route“ und 
„Internet Timestamp“ kommen meist 
nicht ans Ziel, da sie entweder vom ei- 
genen Provider oder einer Firewall des 
Empfängers ausgefiltert werden. 


Alte Verstecke 
in neuen Protokollen 


In den nächsten Jahren wird die gegen- 
wärtig eingesetzte IP-Version 4 nach 
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und nach durch IPv6 abgelöst. IPv6 
scheint für das Verstecken von Infor- 
mationen im Header auf den ersten 
Blick wenige Möglichkeiten zu bieten, 
da sich die Anzahl der Felder im Ver- 
gleich zu Version 4 deutlich verringert 
hat. Erreicht wurde dies durch eine 
Auslagerung nicht ständig benötigter 
Header-Felder in sogenannte Exten- 
sion-Header, von denen mehrere in ei- 
nem Paket auftreten können. Einige 
dieser Extension-Header bieten ähnli- 
che Verstecke wie IPv4 [5]. 

Von den Feldern im eigentlichen 
Header kommt vor allen Dingen das im 
Vergleich zu IPv4 neu hinzugekomme- 
ne Feld Flowlabel für den verdeckten 
Datentransport infrage. Es dient eigent- 
lich dem schnelleren Bearbeiten zu- 
sammengehöriger Pakete. Da Router 
jedoch nicht zuvor zugewiesene Flow- 
label ignorieren, wäre ein Füllen mit 
anderen Daten denkbar. 

Unter den Extension-Headern gibt 
es einen, der die Fragmentierung von 
Paketen erlaubt und ein Feld enthält, 
dessen Verwendung in etwa der IP-ID 
aus IPv4 entspricht. Ein weiterer ist der 
Destination Options Header. Er bildet 
die bereits bekannten IPv4-Optionen ab 
und hat den zusätzlichen Vorteil, dass 
er unterwegs weder interpretiert noch 
verändert werden darf. Insgesamt fin- 
den also die Freunde des verdeckten In- 
formationstransports auch mit IPv6 di- 
verse Verstecke. 


Spion vs. Spion 


Steganografische Verfahren lassen sich 
aber mit statistischen Methoden oft ein- 
fach entdecken, etwa da ein bestimm- 
tes Merkmal plötzlich eine veränderte 
Verteilung aufweist. Wirksamer noch 
als der Versuch, solche Manipulationen 
nachträglich zu entdecken, ist jedoch 
deren gezielte Verhinderung. 

Wer Steganografie in seinem Netz 
nicht dulden möchte, kann die Anwen- 


Standard Header 


dung der genannten Methoden deut- 
lich erschweren. Am gründlichsten ge- 
gen heimlich transportierte Informa- 
tionen auf den unteren Schichten des 
Netzwerks wirkt ein Application Le- 
vel Gateway (ALG), etwa ein Web- 
Proxy. Die manipulierten Pakete ge- 
langen nur bis dorthin, bleiben also im 
eigenen Netz, denn das ALG erstellt 
selbst neue Pakete auf dem ausgehen- 
den Interface. 


Aufspüren ist möglich 


Ist der Verzicht auf IP-Routing keine 
Option, bleibt immer noch der Einsatz 
restriktiver Firewall-Regeln. So kann 
eine Firewall den TCP-Urgent-Pointer 
immer auf Null setzen, wenn das URG 
Flag nicht gesetzt ist, ohne die Nutzer 
hinter der Firewall einzuschränken. 
Ebenso können die IP-IDs nicht frag- 
mentierter Pakete grundsätzlich mit 
Null überschrieben, TCP-Optionen hin- 
ter dem EOL-Byte auf Null gesetzt 
und unbekannte Optionen ganz ent- 
fernt werden. 

Das Aufspüren heimlich transpor- 
tierter Daten in standardisierten TCP- 
Optionen ist deutlich schwieriger und 
nur durch eine Analyse der Options- 
werte möglich. Besonders subtil ist das 
Verstecken von Informationen in der 
Initial Sequence Number (ISN) bei 
TCP-Verbindungen, die beim Aufbau 
der Verbindung zufällig entsteht. Aller- 
dings würde die Umsetzung einen tie- 
feren Eingriff in den Kernel erfordern 
und der Datendurchsatz wäre extrem 
gering, da sich maximal 4 Byte pro 
TCP-Verbindung transportieren lassen. 
Als Gegenmaßnahme könnte man durch 
die Perimeter-Firewall die ISNs aller 
TCP-Verbindungen um einen zufälligen 
Offset verschieben. Dies würde aller- 
dings hohe Anforderungen an die Fire- 
wall stellen, die „stateful‘“ sein und alle 
TCP-Segmente verändern müsste. Ge- 
nerell muss ein Netzadministrator zwi- 
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zum Verstecken 
von Daten (Abb. 4) 


schen der Aufspürbarkeit der versteck- 
ten Daten und dem erzielbaren Durch- 
satz abwägen. 

Mittels Steganografie bieten sich sub- 
tile Möglichkeiten, durch die Verwen- 
dung nicht benötigter Header-Felder in 
Protokollen Informationen aus einem 
Rechner auszuschleusen, die insbeson- 
dere Schadsoftware verhältnismäßig 
einfach nutzen kann. Solche Ansätze 
sind schon seit einiger Zeit bekannt, 
aber bisher vor allem von akademi- 
schem Interesse [2-4]. Die zunehmen- 
de Überwachung und Zensur des Inter- 
net in manchen Ländern auf der einen 
und die verbesserte Abwehr gegen 
Schadprogramme und Spionage ande- 
rerseits machen es aber durchaus wahr- 
scheinlich, dass Steganografie in Da- 
tennetzen in Zukunft an Bedeutung 
gewinnen könnte. Dabei kann Stegan- 
ografie — wie die Kryptografie — so- 
wohl zu kriminellen als auch recht- 
schaffenen Zwecken eingesetzt werden. 
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REPORT 
m 21. März will IBM die im 
vergangenen Jahr avisierte neue 
Version des Betriebssystems 


15/OS V6RI für die Serverbaureihe 
System i auf den Markt bringen. Neben 
zahlreichen Erweiterungen des Funk- 
tionsumfangs und der Verbesserung der 
Performance fällt vor allem die Unter- 
stützung für die neuen Power-Blades 
JS22 ins Auge: Erstmals lässt sich 
15/OS auf einer anderen Rechnerfami- 
lie als dem System i einsetzen, und 
zwar nicht nur auf den Modellen mit 
dem jüngsten Power6, sondern auch 
auf den Vorgängern mit Power5 und 
Power5+. Umgekehrt versetzt IBM die 
aktuelle Release i5/OS V5R4 per Pat- 
ches in die Lage, auf Power6-Rech- 
nern zu laufen. Unterstützung durch 
15/OS V6R1 finden zunächst die Po- 
wer6-Blades JS22 im Bladecenter H 
und später im Verlauf des Jahres im 
für Filialen und kleinere Unternehmen 
erdachte Bladecenter S. 

Um i5/OS auf den Power6-Blades 
lauffähig zu bekommen, hat IBM tief 
in die Trickkiste gegriffen: Vorausset- 
zung ist der Virtual VO Server (VIOS). 
Der wiederum bildet den VO-Layer des 
System-p-Hypervisors namens Power 
VM, unter dem Namen Advanced Power 
Virtualization der Power5+-Generation 
unter AIX und Linux entsprungen. 
VIOS erlaubt es mehreren logischen 
System-p-Partitionen, gemeinsam auf 
SCSI-Geräte oder Ethernet-Ports zuzu- 
greifen. Mit i5/OS V5SR1 bekommt der 
Virtual VO Server nun einen neuen 
Gast - allerdings nur auf den Power6- 
Servern. 


Immer zu Diensten 


Auf der JS22-Blade — oder dem Blade- 
center - muss man zuvor eine VIOS- 
Partition einrichten. Sie stellt den 
15/OS-Partitionen die angeschlossenen 
Speicherressourcen zur Verfügung. Be- 
gründet ist dieser Umweg darin, dass 
die für die Blades notwendigen Treiber 
bereits virtualisiert sind und IBM von 
einer Re-Portierung zum nativen Be- 
triebssystem Abstand genommen hat. 
Auf dem System i ist eine solche Kon- 
struktion vor allem dann von Vorteil, 
wenn man eigene 15/OS-Partitionen 
zum Testen von iS/OS-Anwendungen 
benötigt, da man auf die Anschaffung 
und Installation separater Hardware 
verzichten kann. 

Bereits auf die Blades angepasst ist 
der Integrated Virtualization Manager 
(IVM), der nun der traditionellen Hard- 
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IBMs Midrange-Betriebssystem i5/OS VOR 


Eine eigene Liga 


Berthold Wesseler 


Die objektbasierte Struktur und die damit verbundenen 
Eigenarten sind der Grund, warum die AS/A00 mit OS/400 
unter dem neuen Namen System i unter i5/OS immer noch 
gefragt ist. Mit der neuen Version V6R1 rückt es näher an die 
Unix-Systeme aus dem gleichen Hause heran. 


ware Management Console (HMC) zur 
Seite steht. Der IVM kann nicht nur die 
15/OS-Partitionen steuern und verwal- 
ten, die über den VIOS an die Blade 
angeschlossene Speicherhardware nut- 
zen, sondern auch die VIOS-Partition 
selbst managen. Beispielsweise Kann 
man mit dem IVM Partitionen erzeu- 
gen oder entfernen. Als Anhaltspunkt 
für die Performance des i5/OS auf der 
JS22-Blade gibt IBM übrigens 11 040 
CPW (Commercial Processing Work- 
load) an; ein System-i-Einstiegsmodell 


der Baureihe 525 mit Power5+-Prozes- 
sor kommt auf 7100 dieser IBM-typi- 
schen Leistungseinheiten. 

Schon früher konnte das System i 
übrigens als virtuelles Storage Area 
Network (SAN) AIX- und Linux-Ser- 
ver bedienen — und über eine iSCSI- 
Verbindung auch andere. Schon im 
September 2007 ist bei der Speicher- 
virtualisierung für Windows- oder Bla- 
de-Server die Unterstützung für den 
ESX-Server von VMware hinzuge- 
kommen, sodass die darunter gehoste- 
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ten Gastsysteme die Speicherressour- 
cen des System i nutzen können. 

Ebenfalls neu sind die „Storage Space 
Snapshots“, über die sich sogenannte 
Hot Backups - also Datensicherungen 
im laufenden Betrieb - virtueller i5/OS-, 
AIX-, Linux-, VMware- und Windows- 
Server erstellen lassen. Spareffekte bei 
größeren System-i-Anwendungen bringt 
die neue Option der Shared Processor 
Pools. Mit ihr lassen sich mehrere Par- 
titionen mit dynamischen Prozessorka- 
pazitäten zu einer Gruppe zusammen- 
fassen und dieser eine gemeinsame 
Obergrenze für die Prozessorzahl zu- 
ordnen. Das senkt die Softwarelizenz- 
kosten, die sich bisher aus der Summe 
der Maximalkapazitäten der einzelnen 
Partitionen berechnen. IBM bietet die- 
ses Feature auch für die aktuelle 
Release V5SR4 an, allerdings nur auf 
den neuen Power6-Maschinen. 

Direkt ins Betriebssystem integriert 
hat Big Blue den Verschlüsselungs- 
standard AES. Damit lassen sich zum 
einen Backups — mit der hauseigenen 
Datensicherungssoftware „Backup Re- 
covery and Media Services“ (BRMS) -, 
zum anderen Daten auf Festplatten - in 
einem sogenannten Auxiliary Storage 
Pool (ASP) — verschlüsseln. Nutzen 
lässt sich die AES-Implementierung 
allerdings nur über die kostenpflichti- 
gen Optionen 44 für die verschlüsselte 
Bandsicherung und 45 für die Ver- 
schlüsselung der ASPs. Da für die 
Verschlüsselung kein eigener Kopro- 
zessor zur Verfügung steht, darf man 
auf die Performance in der Praxis ge- 
spannt sein. 

Zudem versieht das System alle Pro- 
gramme automatisch mit einer digita- 
len Signatur. Das soll ihre Authentizität 
garantieren und verhindern, dass Pro- 
gramme unterhalb des Technology In- 
dependant Machine Interface (TIMI) 
des Systems operieren können. Für be- 
stehende Programme, die das TIMI 
nutzen, steht deshalb beim Umzug auf 
die Release V6R1 eine Konvertierung 
an, für die IBM eigene Tools mitliefert. 


Keine Chance für 
Angreifer 


Erweitert hat IBM die Intrusion De- 
tection and Prevention. Sie befähigt 
das System, in einem von 15/OS kon- 
trollierten Netz Clients ausfindig zu 
machen, die eine Denial-of-Service- 
Attacke gestartet haben. Außerdem kann 
es automatisch Benachrichtigungen 
per E-Mail oder Pager versenden, falls 
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es Risiken entdeckt oder wenn kritische 
IT-Komponenten nicht ordnungsge- 
mäß funktionieren. Überarbeitet hat 
Big Blue auch das Event-Logging. Die 
neue Intrusion-Prevention-Technik hat 
IBM kürzlich zum Patent angemeldet 
und jetzt erstmals auf den Markt ge- 
bracht; die anderen Server-Plattformen 
sollen später ebenfalls damit ausgerüs- 
tet werden. 

Weitere Neuerungen sind der iClus- 
ter und der High Availability Solutions 
Manager (HASM). iCluster stammt aus 
der Übernahme des kanadischen Soft- 
warehauses Datamirror im vergangenen 
Jahr und dient zur asynchronen Repli- 
kation der Daten auf einen Backup-Ser- 
ver. HASM dagegen ist eine Option für 
die hardwarebasierte Replikation und 
das Clustering im Zuge des sogenann- 
ten Cross-Site Mirroring (XSM) in 
Hochverfügbarkeitsumgebungen und 
zur Katastrophenvorsorge. 

Für das webgestützte Multisystem- 
Management wird i5S/OS V6RI den 
IBM Systems Director Navigator for 
15/OS nutzen. Er soll das bisherige 
Administrationswerkzeug, den i5/OS 
Navigator, in der nächsten Betriebssys- 
tem-Release ablösen. Erklärtes Ziel ist 
es, die bisherigen Managementfunktio- 
nen zu erweitern, um gemischte IT- 
Umgebungen besser unterstützen zu 
können. Der Systems Director Naviga- 
tor for i5/OS ist ein webbasiertes Ad- 
ministrations-Interface, das den nun 
integrierten Web-Application-Server 
nutzt und mit über 300 vordefinierten 
Management-Tasks ausgestattet ist. 
Künftige Versionen sollen mehrere 
unterschiedliche Betriebssystemumge- 
bungen in einem Browser darstellen 
können. Bereits heute unterstützt der 
Server die in der Release V6RI hinzu- 
gekommenen Systemfunktionen wie 
HASM oder den Performance Data In- 
vestigator, der der Darstellung und 
Analyse des Systemleistungsverhaltens 
dient. 


A-TRACT 


e Mit i5/OS V6R1 stellt IBM im 
März die neue Generation seines 
Midrange-Betriebssystems vor. 


© Zu den großen und kleinen Erwei- 
terungen gesellt sich die Fähigkeit, 
auf der Powerö-Blade zu laufen. 


© Dazu ist aber der Virtual IO Server 
notwendig: i5/OS agiert erstmals 
selbst als Gast. 


Der neue Web-Application-Server 
soll die Einführung von Java-Applika- 
tionen erleichtern, die JSF, JSP und 
Servlets nutzen — und weniger System- 
ressourcen und Verwaltungsaufwand als 
bisher benötigen. Hinzu gesellen sich 
eine performantere 64-Bit-Implementie- 
rung der Java Virtual Machine, die die 
Java-Performance um 70 bis 80 % er- 
höhen soll, und ein Enterprise Service 
Bus (ESB) auf Betriebssystemebene. 

Zu diesen grundlegenden Erweite- 
rungen kommen Verbesserungen im 
Detail: Beispielsweise hat IBM die in- 
tegrierte SQL-Datenbank deutlich er- 
weitert, etwa um die Möglichkeit der 
Textabfrage. Zur PC-Anbindung dient 
nun System i Access V6RI1, erhältlich 
für Linux, für Windows und als Web- 
variante, zu deren Verbesserungen ein 
optimierter Vista-Support durch die 
Terminal-Emulation PC5250, IPv6-Sup- 
port und Erweiterungen beim Daten- 
bankzugriff per ODBC gehören. 


Zukunft für RPG 


Last but not least soll das Integrated 
Language Environment (ILE) eine in- 
tegrierte Webservices-Umgebung er- 
halten, inklusive Schnittstellen für 
ILE-Programme sowie einer Laufzeit- 
umgebung für Webservices, die auf 
vorhandene Cobol- und RPG-Pro- 
gramme auf dem System i zugreifen 
können. Auch künftig will IBM in die 
Weiterentwicklung der Programmier- 
sprache RPG investieren, sei es in die 
Integration neuer Techniken wie Web- 
services, die sich aus RPG heraus nut- 
zen lassen, oder in Compiler-Erweite- 
rungen für Multithreading und die 
Unterstützung lokaler Dateien, was die 
parallele Nutzung vorhandener RPG- 
Programme durch Webservices er- 
leichtern soll. 

Dass Big Blue die Entwicklung der 
System i-Compiler und Software-Ent- 
wicklungswerkzeuge in den Geschäfts- 
bereich Rational verlagert hat, soll vor 
allem die Integration und Synergie von 
Produkten wie dem Websphere Devel- 
opment Studio Client (WDSC) mit an- 
deren Rational-Tools verbessern, heißt 
es. Das werde die Entwicklung moder- 
ner Applikationsarchitekturen für das 
System i beschleunigen. 

Erste Auswirkung der Umstrukturie- 
rung: Die Programmierwerkzeuge für 
das Editieren, Kompilieren und die 
Fehlersuche sind nunmehr in einem 
neuen Paket namens Rational Devel- 
oper for System i (RDi) erhältlich. 
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Bis ans Ende der 70er-Jahre reichen die 
Wurzeln des heutigen System i zurück, 
denn es ist der Erbe der AS/400, die IBM 
wiederum am 21. Juni 1988 als Nachfol- 
gemodell der beiden Baureihen System/38 
und System/36 ankündigte. Alle Kompo- 
nenten sind integriert, seien es Peripherie- 
geräte wie Drucker oder Speichersysteme, 
sei es die Middleware wie Datenbank und 
Transaktionsmonitor oder seien es Inter- 
net-Lösungen (Websphere), Dokumenten- 
managementsysteme (Content Manager) 
oder Groupware (Lotus Domino). Dazu 
kommen die nötigen Werkzeuge für das 
Netz- und Systemmanagement sowie die 
Anwendungsentwicklung ebenso wie Soft- 
ware von IBM-Partnern wie SAP, Oracle, 
Lawson, Infor, SoftM, Oxaion oder GUS. 


Anders als andere Betriebssysteme bildet 
15/OS als reines Server-Betriebssystem 
nicht nur die Schnittstelle zu den Anwen- 
dungsprogrammen, sondern setzt selbst 
auf eine bereits in den 80er-Jahren defi- 
nierte Schnittstelle auf: das Technology 
Independent Machine Interface (TIMD). 


Es verfügte von Anfang an über eine 128- 
Bit-Architektur, die ihm 1995 einen fast 
unmerklichen Wechsel der Prozessorar- 
chitektur von 48-Bit-CISC auf den 64-Bit- 
RISC-PowerPC gestattete. Das TIMI er- 
leichtert aber nicht nur dem Betriebssystem 
derartige Technikwechsel, sondern federt 
sie auch für die Anwendungen so ab, dass 


Richtet sich diese Suite an die klassi- 
schen RPG-Programmierer, sind in dem 
ebenfalls neuen RDi SOA zusätzlich 
die für eine Entwicklung von Web- 
applikationen gedachten Tools wie der 
Rational Business Developer enthalten 
— früher als Enterprise Generation 
Language (EGL) bekannt. Zudem hat 
IBM in HATS for 5250 die bisher se- 
paraten Tools für Host Access Trans- 
formation Services und Webfacing in 
einem Produkt gebündelt. 

Ebenfalls verbessern will IBM die 
Unterstützung von Open-Source-Lö- 
sungen wie Apache, Tomcat und PHP 
durch i5/OS. Kernstück ist die Integra- 
tion der MySQL-Datenbank. Der 
MySQL Community Server für i5/OS 
steht auf mysql.com zum kostenlosen 
Download bereit - allerdings ohne jeden 
Support. Dagegen ist für den ab Au- 
gust 2008 verfügbaren MySQL Enter- 
prise Server für i5/OS über mysql.com 
oder bei IBM eine jährliche Lizenz- 
gebühr fällig — und zwar mit vier un- 
terschiedlichen Support-Stufen. Die 
Enterprise Edition der drei großen 
System-i-Modelle 550, 570 und 595 
hat IBM selbst um die PHP-Entwick- 
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Was ist anders an 15/05? 


zwanzig Jahre alte Programme heute noch 
unverändert ablauffähig sind. 


15/OS selbst fungiert als eine objektbasier- 
te Datenbankmaschine - sprich die Daten- 
bank ist in das Betriebssystem integriert. 
Das erspart nicht nur Kauf und Installa- 
tion einer separaten Datenbank, sondern 
vereinfacht auch den Systembetrieb deut- 
lich, da das Betriebssystem die Datenbank 
mitverwaltet. Nebenbei bemerkt können 
Datenänderungen automatisch transak- 
tionsorientiert ablaufen, da ein Transak- 
tionsmonitor ebenfalls in das Betriebssys- 
tem integriert ist. Textdateien gibt es 
übrigens nur als Emulation und aus Grün- 
den der Kompatibilität mit anderen Be- 
triebssystemen; in der Regel ist eine 
AS/400-Datei aber ein Datenbankobjekt. 


Alles ist ein großer Speicher 


Objektbasiert heißt in diesem Zusammen- 
hang übrigens nicht „objektorientiert“ im 
Sinne des Software-Engineering. Es meint 
vielmehr, dass grundsätzlich jedes Ele- 
ment im System — ob Programm, Datei, 
Bibliothek, Benutzerprofil oder Geräte- 
konfiguration — ein Objekt mit bestimm- 
ten Funktionen und Eigenschaften ist. Die 
Eigenschaften lassen sich nur in begrenz- 
tem Umfang ändern. Beispielsweise kann 
man eine Textdatei nicht in das System 
transferieren und sie anschließend in ein 


lungsumgebung Zend Core für i5/OS 
(Standard Support) sowie MySQL En- 
terprise für i5/OS (Silber-Support) er- 
gänzt. Zugleich positioniert IBM sei- 
ne DB2 for i5/OS als MySQL Storage 
Engine. 


Fazit 


Nach den aktuellen IBM-Planungen 
gilt es als ausgemacht, dass V6RI die 
letzte 15/OS-Release sein wird, die 
noch ältere Maschinen der 8xx-Modell- 
reihen unterstützt. Zudem ist sie die 
erste Release, die nicht mehr auf den 
System i-Modellen 270, 820, 830 und 
840 läuft. Darüber hinaus soll der Sup- 
port für den Vor-Vorgänger V5R3 im 
April 2009 auslaufen. Den Vertrieb von 
V5R3 hat Big Blue bereits im Januar 
eingestellt. Upgrades auf die neue Ver- 
sion sind sowohl von V5R3 als auch 
von V5R4 direkt möglich. 

Die Preise des Betriebssystems ste- 
hen für den deutschen Markt noch nicht 
fest. In USA bleiben sie IBM-Angaben 
zufolge unverändert. Danach kostet ei- 
ne Lizenz pro Prozessor je nach dessen 


Programm umwandeln, was die Vermeh- 
rung von Viren auf dem System i aus- 
schließt. 


Zudem arbeitet i5/OS nach dem Einspei- 
cherkonzept (Single Level Storage). Das 
heißt: Die Anwendungen müssen nicht 
zwischen Haupt- und Plattenspeicher 
unterscheiden. Vielmehr stellt sich der ge- 
samte Speicherplatz als linearer Raum 
dar, den das Betriebssystem verwaltet und 
die optimale Zuordnung der Objekte auf 
ein spezielles Plattenlaufwerk vornimmt. 
Für das Operating vereinfacht sich das 
Speichermanagement insofern, als es neue 
Ressourcen einfach an den linearen Spei- 
cher anhängt. Das Betriebssystem opti- 
miert zugleich die Zugriffszeiten, indem 
es per Paging Daten von der Platte in den 
Hauptspeicher verlagert und umgekehrt. 


Für die Benutzer besteht der augenfälligste 
Unterschied zu anderen Systemen darin, 
dass sie die gewohnte Programmfunktion 
„Speichern“ („Save“) gar nicht benötigen. 
Selbst wenn der Rechner abstürzt, bleiben 
die Daten nach dem Neustart verfügbar. 
Last but not least ist der Single Level Sto- 
rage aus Sicht der objektorientierten Pro- 
grammierung eine elegante Methode, au- 
tomatisch für die nötige Persistenz von 
Objekten zu sorgen. Auf allen anderen 
Plattformen sind dazu beträchtliche An- 
strengungen nötig. 


Leistung zwischen 1795 Dollar für das 
Einstiegssystem und 53 000 Dollar für 
die Topmodelle i570 und i595. 

Betrachtet man die Entwicklungs- 
linie des Betriebssystems, lässt sich als 
Zielrichtung ganz klar die Öffnung der 
einstmals höchst proprietären AS/400 
ausmachen. IBM hat offenbar erkannt, 
dass heute jeder Mittelständler eine 
x86-Landschaft besitzt. Darin kann 
15/OS als Klammer für das Manage- 
ment unterschiedlicher Windows-, Li- 
nux- und Unix-Server dienen. 

Auch wenn sich die Hardware der 
Servermodelle immer weiter annähert 
und beispielsweise System i und Sys- 
tem p heute praktisch baugleich sind, 
bleiben es doch grundverschiedene 
Systeme. Denn den Unterschied macht 
nicht die Hardware, sondern die Ap- 
plikationen und Lösungsansätze. Ge- 
rade das neue i5/OS zeigt, in welche 
Richtung diese Differenzierung des 


System i voranschreitet. (sun) 

BERTHOLD WESSELER 
ist freier Journalist in Brühl. IR 
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vor, mit PHP sogenannte Bild-Cap- 

tchas zu erstellen [1]. Ein Captcha 
(Completely Automated Public Turing 
Test to Tell Computers and Humans 
Apart) soll Menschen von Software- 
robotern (Bots) unterscheiden. Dazu 
dienen häufig Bilder, aus denen der 
Anwender versteckte Buchstaben und 
Zahlen in ein Textfeld übertragen muss. 
Obwohl wesentlich bessere Captcha- 
Verfahren existieren, halten sich die 
Bildchen hartnäckig. 

Es gibt verschiedene Gründe für die 
Anwendung von Captchas und damit 
verbundene Einsatzgebiete. Von Blogs, 
Foren und sozialen Netzen über freie 
Mail-Angebote bis hin zu Banken - vie- 
le Dienste setzen ein Captcha als Schutz 
vor dem automatisierten Missbrauch 
ein. Dabei geht es ebenso um die Ab- 
wehr von Spam wie um den Schutz von 
Informationen, zum Beispiel bei einer 
Seite mit Börsenkursen oder einer On- 
lineumfrage. Das simple Prinzip: Ein 
oder mehrere Tests entscheiden, ob die 
Eingabe von einem Menschen oder ei- 
nem Programm stammt. Die Umsetzung 
dagegen ist knifflig und fehlerbehaftet. 

Ein ideales Captcha erfüllt fol- 
gende Bedingungen: 

1. Heutige Computer kön- 
nen den Test nicht lösen. 
2. Menschen können ihn 
(meistens) lösen. 

3.Es lassen sich neue Fra- 
ge-Antwort-Kombinationen 
generieren. 


f m Januar stellte iX eine Methode 


4. Menschen sollen den Test in mög- 
lichst kurzer Zeit lösen. 

Als Alan Turing 1950 den Test for- 
mulierte, glaubte er, dass Computer 50 
Jahre später einem Anwender nach ei- 
nem fünfminütigen Dialog in 70 % der 
Fälle vorgaukeln könnten, sie seien 
menschlich. Da sich diese vier Vorga- 
ben beeinflussen, gibt es bisher kein 
Verfahren, das alle erfüllt und so per- 
fekt Menschen von Maschinen unter- 
scheidet. 


Wer verzerrten 
Text entziffern kann 


Als De-facto-Standard hat es sich durch- 
gesetzt, verzerrte, schlecht zu erkennen- 
de Texte anzuzeigen und den Benutzer 
zu fragen, was er lesen kann. Die Bild- 
chen mit wirren Mustern und schlecht 
erkennbaren Zahlen- und Buchstaben- 
kombinationen erfüllen aber nur die 
dritte Bedingung. Denn Computer sind 


Das Ende der Bild-Captchas 


Gestaffelte Abwehr 


Jörn Wagner 


heutzutage in der Lage, mit Optical 
Character Recognition Texte aus einem 
Bild zu extrahieren. So arbeiten viele 
Projekte wie PWNtcha, Anti-Gimpy 
und aiCaptcha (siehe „Onlinequellen“) 
bereits erfolgreich an der Erkennung 
von Bild-Captchas, die unter anderem 
Yahoo, Microsoft, Paypal und die weit 
verbreitete Forensoftware phpBB ein- 
setzen. Dass diese Seiten bisher noch 
nicht in großem Stil Ziel von Angriffen 
geworden sind, hängt nur damit zusam- 
men, dass die Projekte ihren Code nicht 
veröffentlichen. Einzig von Anti-Gim- 
py gibt es eine öffentlich einsehbare 
Beschreibung des Algorithmus. 
Die Zwickmühle bei der Verbesse- 
rung der Bild-Captchas ist schnell er- 
klärt: Je aufwendiger es für den Compu- 
ter ist, die Informationen zu erkennen, 
desto größer auch die Schwierigkeiten 
für Menschen. So sind Wörter im Allge- 
meinen besser zu erkennen als abstrakte 
Zeichenfolgen; allerdings basiert der 
Test dann auf einem begrenzten Wort- 
schatz. Damit verletzt er die dritte Be- 
dingung, da sich keine neuen Frage-Ant- 
wort-Kombinationen generieren lassen. 
Verzerrt man die Zeichen immer stärker 
und überlagert sie mit Störun- 
gen, fällt es sogar sehr gut se- 

henden Menschen schwer, 
die richtige Zeichenfolge zu 
erkennen. 

Solche Falscherkennun- 

gen steigern vor allem die 
Frustration beim Anwen- 
der. Auf einer bekannten 


Captchas aus verzerrtem Text sind zwar ein beliebter Sicherheitsmechanismus. 
Jedoch bereitet ihre Lösung Anwendern häufig zu viel Mühe, und Computern fällt es leichter 
als erwünscht. Andere Verfahren stören weniger und sind ebenso zuverlässig. 
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deutschen Studentenseite ist für beina- 
he jede Aktion ein Captcha zu lösen, 
was die Zeit zur Erledigung des Ge- 
wünschten schnell auf ein Vielfaches 
ansteigen lässt. Ein entnervter Benut- 
zer besucht unter Umständen die Seite 
nicht mehr, wenn kein Nutzen den er- 
höhten Aufwand rechtfertigt. 

Zudem diskriminiert das Verfahren 
Menschen mit Sehschwächen, etwa 
Farbfehlsichtigkeiten, denen es unter 
Umständen schwerer fällt, den Test zu 
bestehen als einem Spam-Bot. Bild- 
Captchas sind also von Maschinen zu 
knacken, von Menschen dagegen im- 
mer seltener und lassen sich, wenn sie 
gut sind, nicht schnell lösen. Es gibt 
allerdings Alternativen. 

Neben verzerrten Bildern findet 
man hin und wieder auch die einfache 
Aufforderung „Geben Sie folgenden 
Sicherheitscode ein“ und ein Feld na- 
mens „Sicherheitscode“. Sogar dieser 
geringe Schutz reicht oft aus. Obwohl 
ein wenig semantische Analyse für 
das Knacken erforderlich ist, kann 
man für jedes Verfahren einen eige- 
nen, einfachen Angriff entwerfen. Da- 
mit besteht der einzige Schutz darin, 


dass nicht viele Seiten es einsetzen 
und sich der Aufwand für den Angrei- 
fer deshalb nicht lohnt. 


Warum jede 
Lösung richtig ist 


Ein weiteres Verfahren namens Anti- 
Captcha geht sogar noch einen Schritt 
weiter in Richtung Unsicherheit: Statt 
der Lösung soll man einen beliebigen 
anderen Text eingeben. Dies hilft 
vielleicht gegen Bots, die zufällig auf 
das verwendete Verfahren trainiert 
sind, weil sie fälschlicherweise den 
Code richtig eingeben. Allerdings öff- 
net es Tür und Tor für falsch pro- 
grammierte, schlecht arbeitende und 
überhaupt nicht trainierte Bots. Denn 
statt einer gelten unendlich viele Lö- 
sungen. Die Hauptmotivation ist hier, 
die Hürde für den Benutzer niedrig zu 
halten. 

Die Netbank sichert den Zugang zu 
Onlinekonten auch durch ein visuelles 
Captcha. Um Menschen mit Sehbehin- 
derungen nicht auszuschließen, bietet sie 
ein auditives Captcha (oder Soundcha) 


an, das die Ziffern einzeln mit großen 
Pausen „vorliest“. Das eröffnet jedoch 
eine einfache Angriffsmöglichkeit, da 
der Vorrat an Tonschnipseln auf zehn 
begrenzt ist und sie sich durch die Pau- 
sen und die deutliche Aussprache gut 
voneinander unterscheiden lassen. Eine 
Verzerrung, wie früher bei Hotmail, 
würde wiederum die Barriere für Men- 
schen mit schlechtem Hör- und Sehver- 
mögen erhöhen. Zudem setzen Sound- 
chas zu viel voraus: Der Benutzer darf 
sich nicht in einer lauten Umgebung 
befinden oder in einer, die das Abspie- 
len von Geräuschen verbietet, er muss 
mit Sprache und Dialekt des Sprechers 
vertraut sein, eine funktionsfähige 
Soundkarte besitzen und sein Betriebs- 
system muss das verwendete Audiofor- 
mat wiedergeben können. 

Bereits Ende 2005 veröffentlichte das 
World Wide Web Consortium einen Ar- 
tikel, der logische Puzzles, Nutzungsbe- 
schränkungen und heuristische Tests 
vorschlug. Logische Puzzles sind zum 
Beispiel die (vermeintlich) leichten Fra- 
gen „Was ergibt I + 17“ oder „Welches 
Tier macht ‚miau’?“. Die erste ist je- 
doch ziemlich gut maschinenles- und 
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www.cs.sfu.ca/mori/research/gimpy/ 


PWNicha sam.zoy.org/pwnicha/ 

Anti-Gimpy 

aiCaptcha www.brains-n-brawn.com/aiCaptcha 
Anti-Captcha www.timtucker.com/weblog/®p=74 
Netbank 


20090500 
Formularfeld ausblenden 
NoBot 
Plug-in für Wordpress 
Spam for Porn 
Turing-Artikel 
Breaking a visual Captcha 


-lösbar, und bei der zweiten ergeben 
sich andere Zweifel: Was soll mit Ein- 
gaben wie „katse“ passieren? Ist „Ka- 
ter“ ebenfalls richtig? Versteht der Be- 
nutzer die Frage noch, wenn sie auf 
Englisch gestellt wird? Sind dann Ein- 
gaben wie „cat“, „chat“ und „felino“ 
gültig? Außerdem bieten solche Puzzles 
immer nur einen begrenzten Fragen- 
schatz und verletzen damit ebenfalls die 
Bedingung, dass sich neue Frage-Ant- 
wort-Kombinationen erzeugen lassen. 
Bei mathematischen Aufgaben ist dies 
nicht so, allerdings könnten Rechnun- 
gen der Art „Bilden Sie die Quadrat- 
wurzel aus der achten Potenz vom 
Zehner-Logarithmus von einhundert“ 
Benutzer vergraulen. 


Wenn das 
Textfeld ausgefüllt ist 


Heuristische Tests auf Schlüsselworte 
haben dieselben Nachteile wie aktuel- 
le Anti-Spam-Software: Ihre Qualität 
hängt von den verwendeten Algorith- 
men und von der Pflege der Black- und 
Badword-Listen ab. Damit entbrennt ein 
stetiges Wettrennen zwischen Spam- 
mern und Captcha-Herstellern. 

Ein Formularfeld per CSS auszu- 
blenden und bei ausgefülltem Feld 
den Zugriff zu verweigern, basiert auf 
dem Verhalten von Spam-Bots, man- 
gels semantischer Analyse jedes Feld 
auszufüllen, um überall ihre Werbe- 
botschaft zu hinterlassen. Alternativ 
könnte man den Wert von Standard- 
feldern wie „Name“ prüfen - im Blog 
des Autors finden sich viele Spam- 
Kommentare von „Name“ (die Stan- 
dardbelegung). 

Microsofts ASP.Net Control ‚„No- 
Bot“ hält sich im Grunde an die vom 
W3C vorgeschlagenen Nutzungsbe- 
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https://banking.netbank.de/wps/netbank-online-banking.jsp®blz= 


bueltge.de/spam-mit-hilfe-von-css-bekaempfen/473/ 
www.asp.net/AJAX/AjaxControlToolkit/Samples/NoBot/NoBot.aspx 
bueltge.de/wp-js-antispam-plugin/418/ 
www.boingboing.net/2004/01/27/solving-and-creating.html 
www.loebner.net/Prizef/TuringArticle.html 


www.cs.sfu.ca/ mori/research/papers/mori_cvprO3.pdf 


schränkungen und prüft, wie schnell 
der Benutzer das Formular absendet 
(Menschen brauchen länger als drei 
Sekunden) und wie häufig er dies tut 
(Spammer liefern meistens viele Nach- 
richten hintereinander ab). Zusätzlich 
führt es eine Rechnung in Javascript 
durch, deren Ergebnis stimmen muss. 
Streng genommen prüft es hierbei 
nicht, ob ein Mensch das Formular be- 
nutzt, sondern nur, ob ein Javascript- 
fähiger Browser verwendet wird. 
Allerdings erfüllt dieses Verfahren 
immerhin alle Bedingungen außer der 
zweiten. Bei abgeschaltetem Java- 
script weist dieses Verfahren einen 
Mensch immer ab. 

Eine möglichst effiziente Kontrolle 
sollte mehrere Verfahren kombiniert an- 
wenden. Zwar bietet eine transparente 
Lösung nicht notwendigerweise mehr 
Sicherheit als ein Bild-Captcha, belästigt 
aber immerhin den Benutzer nicht. 

Für Wordpress existiert ein Plug-in, 
das ein logisches Puzzle benutzt, aber 
die Antwort bei aktiviertem Javascript 
automatisch gibt. Der Autor konnte 
damit den Spam in seinem Blog elimi- 
nieren, ohne dass die Benutzer etwas 
von dem Test merken. 


Was das 


Kombinieren bringt 


Kombiniert man dieses Vorgehen mit 
den oben genannten Nutzungsbeschrän- 
kungen und Verhaltensauffälligkeiten 
von Bots, hat man einen effektiven 
und für den Benutzer komfortablen 
Turing-Test. Eine zusätzliche Prüfung, 
ob das Gegenüber einen handelsüb- 
lichen Browser einsetzt, schadet nicht, 
da Spammer häufig selbstgeschriebe- 
ne Programme verwenden. Sie sollte 
allerdings nicht den manipulierbaren 


User-Agent-String auswerten, sondern 
eher browserspezifische Variablen 
und Verhaltensweisen, die unter ande- 
rem bei Javascript-Weichen zum Zu- 
ge kommen. 

Fast nebenbei beseitigt man so eine 
weitere Schwachstelle von Bild-Capt- 
chas: Selbst das beste, das ein Compu- 
ter nicht erkennt, jeder Mensch aber 
identifizieren kann, ist anfällig für ei- 
nen verteilten Angriff, auch bekannt als 
„Spam for Porn“. Dabei bekommt der 
Besucher einer anderen Webseite das 
zu lösende Captcha angeboten, das kos- 
tenlosen Zugriff auf für ihn interessante 
Informationen gewähren soll. Unwis- 
sentlich löst er die Aufgabe für den 
Spammer, der sich dadurch als Mensch 
ausgeben kann. Bei einem kombinier- 
ten Ansatz müsste der Übeltäter das ge- 
samte Browserfenster präsentieren, da- 
mit sein Bot alle Tests besteht. Und das 
sollte auffallen. 


Fazit 


Webseiten werden oft von Bots heimge- 
sucht. Zur Abwehr dienen sogenannte 
Captchas. Die häufig verwendeten Bild- 
Captchas haben jedoch zwei Schwach- 
punkte: Sie sind von Computern zu 
lösen und verursachen bei Menschen 
immer öfter Frustration und Zeitverlust. 

Gerade wer das Verfahren für si- 
cherheitskritische Anwendungen wie 
Onlinebanking einsetzt, sollte es über- 
prüfen, um dem Benutzer keine falsche 
Sicherheit vorzugaukeln. Es gibt eine 
Reihe weiterer Tests, deren Kombina- 
tion sicherer und komfortabler funktio- 
niert als Bild-Captchas. (ck) 
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bgeordnete, die ihre Arbeit aus- 
A schließlich via Laptop erledigen, 

mögen für viele eine ferne Zu- 
kunftsvision sein. Im österreichischen 
Bundesland Steiermark ist das jedoch 
seit mehr als zwei Jahren Praxis. Denn 
als erstes Parlament mit Gesetzgebungs- 
kompetenz in Europa hat der Landtag 
Steiermark die gesamte Gesetzgebung 
auf papierlose Prozesse umgestellt. Alle 
parlamentarischen Abläufe einschließ- 
lich der Protokollierung der Sitzungen 
werden durchgängig elektronisch abge- 
bildet. Damit ist das parlamentarische 
Prozedere unabhängig von Ort und Prä- 
senz der Abgeordneten im Landtag (aus- 
genommen mündliche Verhandlungen). 

Das Projekt mit dem einprägsamen 
Namen Pallast (Papierloser Landtag 
Steiermark) hat der Landtag im Herbst 
2003 beschlossen. Seit Beginn der 
XV. Legislaturperiode im Oktober 2005 
arbeitet das System erfolgreich. Bis heu- 
te ist das steirische Parlament das einzi- 
ge, das ein digitales System „für alles“ 
betreibt. Zwar verwenden andere Parla- 
mente ebenfalls Software für ihre Arbeit, 
jedoch deckt die immer nur Teilaspekte 
ab. In den nächsten Jahren wollen weitere 
Parlamente dem steirischen Beispiel fol- 
gen und umfangreiche papierlose Syste- 
me einführen. Am weitesten fortgeschrit- 
ten ist dabei der Landtag Brandenburg. 
Hier liegt mittlerweile ein Feinkonzept 
für ein ähnliches Workflowsystem vor. 

Zielvorgabe in der Steiermark: die 
Verlagerung aller Prozesse und die Ab- 
lage der Daten in ein zentrales und si- 
cheres Onlinesystem. Beispielsweise 
wollte man das Versenden von vertrau- 
lichen Dokumenten per E-Mail, Fax 
oder als Papierkopie vermeiden. Die bis- 
herigen Kommunikationswege sollten 
durch ein einheitliches System laufen, 
auf das alle Beteiligten auf Basis eines 
Rollenkonzepts Zugriff haben. 

Ein weiterer Aspekt der Strategie war 
das Überprüfen und Verbessern der Ge- 
schäftsprozesse für die digitale Bearbei- 
tung. Die Workflows sollten die beste- 
henden Papierabläufe jedoch nicht eins 
zu eins abbilden, sondern die Vorteile 
beider Welten — Papier und Elektronik 
- sinnvoll kombinieren. 


Erfolg durch 
Beteiligung aller 


Abgeordnete, Mitarbeiter der Landtags- 
direktion, der Landesverwaltung, der 
Landesregierung sowie Experten der 
Firma Icomedias Systemhaus bildeten 
das Projektteam. Im Rückblick lässt sich 
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Steirischer Landtag: Komplett elektronisch 


Digitales 
Parlament 


Gabriele Ostanek 


Gesetzgebung und Schriftverkehr im Landtag Steiermark 
erfolgen seit Oktober 2005 ausschließlich in elektronischer 
Form. Da das Projekt seither klaglos läuft, wollen andere 
Institutionen in den nächsten Jahren den gleichen Weg gehen. 


das frühe Einbinden aller Interessen- 
gruppen als ein wesentliches Kriterium 
für den Erfolg des Vorhabens verbu- 
chen. Gemeinsam legten die Beteiligten 
klare und verständliche Ziele fest. Jeder 
wusste, wohin die Reise geht und was 
ihn am Ende erwartet. Besondere Auf- 
merksamkeit genoss ein kontinuierliches 
Änderungsmanagement. Die Einführung 
von Pallast bedeutete schließlich nicht 
nur einen organisatorischen Wandel in 
der Verwaltung, sondern auch eine 
grundlegende Änderung der gewohnten 
individuellen Arbeitsweise und Arbeits- 
umgebung. Denn mit dem Stichtag der 
Inbetriebnahme mussten alle Abgeord- 
neten und Mitglieder der Landtags- 
direktion mit dem System arbeiten — 
ohne Ausnahmen und Alternativen. 


In nur zwölf Monaten setzte das Pro- 
jektteam Pallast um. Alle 56 Landtags- 
abgeordneten bekamen Laptops; jede 
Fraktion wie auch die Landtagsdirektion 
erhielten eigene geschützte elektroni- 
sche Arbeitsbereiche. Alle Teilnehmer 
melden sich gesichert durch digitale Sig- 
natur und verschlüsselt durch SSL am 
System an. Die verfügbaren Dokumen- 
te und zu erledigenden Aufgaben er- 
geben sich aus dem individuellen Be- 
nutzerprofil: Fraktionszugehörigkeit, 
Stelle und Funktion. Insgesamt sind 36 
vollständig modellierte und elektro- 
nisch umgesetzte Prozesse mit über 
1000 Einzelstufen verfügbar. 

Zentrales Element von Workflows 
und Dokumentenlenkung ist die Adres- 
sierung an einen oder mehrere Empfän- 
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Alle parlamentarischen Abläufe können die Abgeordneten lückenlos 


nachvollziehen (Abb. 1). 


ger und Empfängergruppen — etwa Ab- 
geordnete oder Ausschussmitglieder. Je 
nach Arbeitsablauf wählt der Benutzer 
verschiedene Reaktions-, Verständi- 
gungs- und Eskalationsmechanismen. 
Freigaben und Signaturen kann er se- 
quenziell, parallel oder bis zum Errei- 
chen einer Mindestunterschriftenzahl 
einstellen. Der Ersteller ordnet jedes 
Dokument seinem Typ entsprechend 
ein und den entsprechenden Workflows 
zu. Zusätzlich ist es möglich, für jedes 
Dokument thematische Zuordnungen 
zu wählen und Indizierungsbegriffe zu 
definieren (vorbereitend für die Parla- 
mentsdokumentation). 


Transparenz durch 


klaren Workflow 


Die Empfänger bekommen die Doku- 
mente, etwa Anträge, Tagesordnungen 
und Beschlüsse, in einem definierten 
Workflow zugestellt. Aus den Zustell- 
und Leseprotokollen lässt sich jeder- 
zeit ersehen, wann wer welche Inhalte 
zur Kenntnis genommen und wann er 
sie gelesen, freigegeben oder unter- 
schrieben hat. Je nach Berechtigung 
können alle Beteiligten die detaillier- 
ten Änderungsprotokolle der Land- 
tagsdokumente einsehen. Historische 
Versionen werden systematisch proto- 
kolliert. Eine sogenannte Lebenszyklus- 
verfolgung garantiert die lückenlose 
Nachvollziehbarkeit aller Dokumente, 
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Verhandlungen und Ergebnisse (Ab- 
bildung 1). 

Alle neu anzulegenden Workflow- 
Dokumente bekommt der Ersteller als 
elektronische Vorlage. Sie sind nach 
Dokumententypen sortiert hinterlegt, 
zum Beispiel für einen Antrag an das 
Plenum oder eine neue Tagesordnung 
für eine Ausschusssitzung. Je nach Art 
des Schriftstücks belegt das System das 
Titelblatt mit einer Kopfstanze des 
Landtags. Die prozessspezifischen Dar- 
stellungsvorlagen verhindern Formfehler. 
In den so erzeugten und automatisch 
indizieren Dokumenten kann der An- 
wender sofort nach Freigabe im Voll- 
text recherchieren. Um die Suche ein- 


A-TRACT 


© Der Steirische Landtag ist das 
einzige Parlament in Europa, das 
Gesetzgebung und Schriftverkehr 
komplett digital abwickelt. 


© Hauptkriterien für die gute 
Akzeptanz des Systems sind seine 
einfache Bedienbarkeit, seine 
Zuverlässigkeit sowie die Ein- 
bindung aller relevanten Gruppen 
in Konzeption und Umsetzung. 


© Da die Onlineanwendung seit 
über zwei Jahren anstandslos läuft, 
wollen andere Institutionen und 
Landesparlamente ähnliche 
Projekte starten. 


& Co. KG. Veröffentlichung und Vervielfältigung nur] 


Pallast bietet neben der Volltextsuche 
diverse Recherche- und Filteroptionen 
(Abb. 2). 


zugrenzen, bietet sich die Definition 
von Filtern an, etwa nach Themen, 
nach Ersteller, nach verschiedenen Be- 
reichen, nach Prozess oder nach Fris- 
ten (Abbildung 2). 

Pallasts Sicherheitsarchitektur garan- 
tiert den Schutz aller vertraulichen Infor- 
mationen. Der Zugang zu den Daten ist 
mehrfach gesichert, die Datenübertra- 
gung ausnahmslos verschlüsselt. Erstma- 
lig hat man dazu die österreichische Bür- 
gerkarte in einen USB-Stick integriert. 
Die von Icomedias Systemhaus entwi- 
ckelte Lösung hat der Akkreditierungs- 
dienstleister A-Trust (www ..a-trust.de) 
als SIM-Karte eigens für den Landtag 
Steiermark hergestellt. Abgeordnete und 
Mitarbeiter von Fraktionen sowie der 
Landtagsverwaltung können das webba- 
sierte System von überall her benutzen. 

Die in der Anwendung gespeicherten 
Daten unterliegen strengen Schutzvor- 
schriften. Insbesondere gilt das für die 
Authentizität etwa von Gesetzesvor- 
lagen. Aus diesem Grund ist der Ein- 
satz der qualifizierten elektronischen 
Signatur im gesamten System obligato- 
risch. Die Anmeldung erfolgt ebenfalls 
mittels Signatur, sodass nur berechtigte 
Benutzer die Dokumente ändern kön- 
nen. Jede Kommunikation zwischen 
Server und Client läuft verschlüsselt. 

Entscheidend für die Akzeptanz ei- 
nes solchen Systems ist eine hohe Aus- 
fallsicherheit. Aus diesem Grund läuft 
Pallast auf einem hochverfügbaren Li- 
nux-Cluster mit redundantem Cluster- 
Manager im Sicherheitsrechenzentrum 
der Steiermärkischen Landesregierung. 
Seit Oktober 2005 arbeitet das System 
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Da jeder Berechtigte alles Wichtige sofort sieht, spart sich der Landtag 


beispielsweise Massenkopien (Abb. 3). 


ununterbrochen nach dem Verfügbar- 
keitslevel AEC-2 (Availability Environ- 
ment Classification, High Availability). 
Laut Messung beliefen sich die Ausfall- 
zeiten der zentralen Cluster jährlich auf 
weniger als 15 Minuten. Das Gesamt- 
system basiert weitgehend auf Open- 
Source-Software, Programmiersprachen 
sind Java und PHP, die Datenbank heißt 
PostgreSQL 8.0. 

Dokumente, im Landtag Steiermark 
auch „Stücke“ genannt, legt Pallast als 
strukturierten Inhalt in XML ab. Die Be- 
arbeitung ist mithin nicht an ein Format 
wie .doc gebunden. Ein herkömmliches 
Dokumentenmanagement- oder Vor- 
gangsbearbeitungssystem (DMS/VBS) 
ist hier nicht involviert, denn es hätte 
den Nachteil, dass es Dokumentdateien 
speichert. Pallast übernimmt die Aufga- 
ben eines VBS/DMS-Systems, was den 
Workflow und die Versionierung be- 
trifft. Die Inhalte gibt es nach Bedarf in 
verschiedenen Formaten (.doc, .odt, 
PDF) sowie für verschiedene Medien 
aus. Dies erfolgt im Wesentlichen über 
XSL-Transformationen, die auf eine aus 
der Datenbank erzeugte XML-Struktur 
angewendet werden. Darüber gewinnt 
man eine Flexibilität, die es erlaubt, 
mobile Geräte wie PDAs oder Smart- 
phones in den Workflow einzubinden. 

Eine Kernforderung des Konzeptes 
war die einfache Bedienung der Online- 
anwendung. Darauf legten die Entwick- 
ler in allen Projektphasen besonderes 
Augenmerk. Auch Personen mit wenig 
IT-Erfahrung können bereits nach ei- 
ner halbtägigen Einarbeitung damit 
kompetent umgehen. Nutzungsstatisti- 
ken, die Zahl der im System überarbei- 
teten Dokumente sowie die Rückmel- 
dungen an die Projektleitung zeigen, 
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dass die Nutzer das System akzeptie- 
ren. Ein weiteres Indiz für die Zufrie- 
denheit ist der Wunsch, es künftig auf 
die Landesregierung Steiermark, den 
Landesrechnungshof sowie den Bun- 
desrechnungshof auszuweiten. 

Wenn alle Tagesordnungspunkte für 
eine Sitzung freigegeben sind, stellt Pal- 
last die relevanten Inhalte automatisch 
und umgehend auf der Website des 
Landtags Steiermark zur Verfügung. Al- 
le bisher erforderlichen Maßnahmen und 
Aufbereitungen für die Publikation ent- 
fallen, da die Anwendung alle Doku- 
mente wie beschrieben Template-basiert 
via XML erstellt. Das schafft ein bisher 
nicht gekanntes Maß an Transparenz von 
politischen Entscheidungen. Nicht nur 
die Medien, auch die Bürger nutzen das 
Portal in zunehmendem Maße. 

Pallast ändert die Beschäftigungs- 
struktur des Landtags: Die ehemaligen 
Boten beschäftigen sich nun nicht mehr 
mit dem Verteilen von Papier, sondern 
scannen externe Eingänge, archivieren 
die elektronischen Dokumente und ver- 
teilen sie an die richtigen Adressaten. 
Da das Parlament als Zertifizierungs- 
stelle österreichische Bürgerkarten aus- 
stellen darf, kam es hier ebenfalls zu 
Höherqualifizierungen mehrerer Mitar- 
beiter, die nun die Sicherheit und Ver- 
waltung von Zertifikaten gewährleisten 
sowie Signaturkarten erstellen. 

Das System spart Zeit, Papier, Geld 
und CO; ein. Die elektronischen Ar- 
beitsprozesse beschleunigen Verwal- 
tungsabläufe um vier bis sechs Wochen. 
Beispielsweise konnte der Landtag durch 
das abgestimmte Zusammenspiel von 
Legistik (Rechtsförmlichkeit) und Tech- 
nik auf die erste Lesung zur Ausschuss- 
zuweisung verzichten. Änderungs- und 


Entschließungsanträge können die Ab- 
geordneten während einer Sitzung elek- 
tronisch unterschreiben und einbringen. 
Alle berechtigten Benutzer sehen sofort 
auf ihren Monitoren, was beantragt 
wird (Abbildung 3). Das ließ sich zu- 
vor nur durch Massenkopien und um- 
fangreiche Botengänge erledigen. Hin- 
zu kommt: Abgeordnete müssen nicht 
persönlich im Landtag anwesend sein, 
um Anträge zu unterschreiben. Alleine 
durch die Kostensenkung bei der Land- 
tagsdirektion, die sich etwa durch den 
Wegfall von Kopien und Versand er- 
gibt, spart das Parlament jährlich rund 
200 000 Euro. Die Abgeordneten ver- 
brauchen 95 % weniger Papier. 

Seit zwei Jahren arbeitet Pallast zur 
Zufriedenheit aller und wird dabei stän- 
dig weiterentwickelt. Einige Module ha- 
ben die Entwickler im letzten Jahr neu 
erstellt, zum Beispiel für den Einsatz 
im Rahmen der fraktionsinternen Sit- 
zungsvorbereitung und Auswertung. 
Weiterhin integrierten sie verschiedene 
Ansichten von Tagesordnungen und 
Dokumenten, persönliche Notizen der 
Abgeordneten sowie einen Freigabe- 
Workflow. Die Reorganisation des Ste- 
nografendienstes sowie der Live-Proto- 
kollierung während der Landtagssitzung 
befinden sich in der Umsetzungsphase. 


Das System 
funktioniert klaglos 


Alle Prozesse von den ersten vor- 
parlamentarischen Entwürfen von Do- 
kumenten, Fraktionsberatungen, Sit- 
zungsmappen, Ausschussbehandlungen, 
Abstimmungen, elektronisch signierten 
Gesetzen bis hin zur zentralen Ablage, 
Archivierung und Verteilung von Doku- 
menten und Publikationen im Internet 
wickelt Pallast umfassend ab. In einer 
für derartige Projekte bemerkenswert 
kurzen Zeitspanne haben die Benutzer 
das System angenommen. Der Land- 
tag Steiermark ist das europaweit erste 
durchgehend digitale Parlament und 
wurde mehrfach ausgezeichnet. Unter 
anderem erhielt das Projekt einen Jury- 
preis beim Österreichischen Staatspreis 
Multimedia 2006 und das „Österreichi- 
sche E-Government Gütesiegel“ des 
Bundeskanzleramts für sicheres und ver- 
trauenswürdiges E-Government. (jd) 


GABRIELE OSTANEK 


arbeitet im Amt der Steiermärkischen 


Landesregierung, Abteilung Infor- 
mationstechnik. IR 
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REPORT 


Recht 


Zurückholen ausgelagerter Dienstleistungen 


Alles auf Anfang 


Georg Meyer-Spasche 


Next-Generation-Outsourcing, Backsourcing, 
Insourcing - was kommt nach dem Outsourcing? Immer 
wieder liest man von gescheiterten Outsourcings und 
den Schwierigkeiten, sich voneinander zu trennen. 


Viele dieser Probleme lassen sich lösen. 


utsourcing gilt in vielen Unter- 
0) nehmen als effektives Mittel zur 

Bereinigung der internen Struk- 
turen, zur Kostensenkung und zur Kon- 
zentration auf das Kerngeschäft. Kun- 
den möchten vom Know-how und den 
Erfahrungen des Outsourcers profitieren 
und ihre oft über Jahre hinweg geschaf- 
fenen heterogenen Systemlandschaften 
und vielschichtigen Schnittstellen be- 
reinigen. Innovationspotenzial soll per 
Technology Refresh quasi nebenbei 
ausgeschöpft werden. Die eigenen IT- 
Mitarbeiter betreiben beim Anbieter 
das Kerngeschäft, können sich qualifi- 
zierter fortbilden und haben bessere 
Karrierechancen. 

Vor allem soll das Outsourcing in 
der Regel die Kosten senken, indem 
günstigere Einkaufsbedingungen des 
Anbieters genutzt, Systeme zusammen- 
gelegt und Mitarbeiter transferiert wer- 
den. Schließlich sind positive Cash- 
flow-Effekte durch den Verkauf der 
IT-Landschaft an den Outsourcer zu re- 
alisieren. Dieses Potenzial vor Augen, 
versucht das Management oft, ein Out- 
sourcing möglichst schnell zu realisie- 
ren — entsprechend groß ist der Zeit- 
druck in der Vorbereitung. 

Inzwischen ist vielerorts Ernüchte- 
rung eingekehrt. Man hört und liest 
von kriselnden Projekten, ungeplanten 
Mehrkosten, mangelnder Flexibilität der 
Anbieter, Kontrollverlust der Kunden 
und Frustration für beide Seiten durch 
unklare Leistungsbeschreibungen und 
praxisferne SLA. Statistiken zufolge 
sind nur rund 30 % der Kunden zufrie- 
den mit ihrem Outsourcing. Obwohl 
demnach 70 % unzufrieden sind, werden 
nur ganz wenige Outsourcings wirklich 
beendet — selbst wenn die Beteiligten 
den Vertrag regulär kündigen könnten. 
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Stattdessen wird der Vertrag oft zäh- 
neknirschend verlängert und damit ei- 
ne wichtige Gelegenheit verpasst, vor- 
handene Probleme abzustellen. Das hat 
auch einen Grund: Es gibt diverse Stol- 
perfallen und der Kunde geht bei einem 
Anbieterwechsel oder einem sogenann- 
ten Backsourcing erhebliche Risiken 
ein, die denen bei Vertragsbeginn äh- 
neln oder sie sogar übertreffen. 


Wer weiß noch, 
wie es geht? 


Das fängt schon bei den Mitarbeitern an: 
Bei einem Backsourcing ist der Kunde 
besonders auf die Rückkehr seiner 
ehemaligen IT-Mitarbeiter angewiesen, 
denn er selbst hat ja kaum noch IT- 
Fachkräfte und müsste andere erst anler- 
nen. Doch auch ein neuer Anbieter be- 
nötigt in aller Regel die erfahrenen 
Mitarbeiter aus dem endenden Outsour- 
cing. Zwar enthält jeder Outsourcing- 
Vertrag Bestimmungen, nach denen alle 
dem outgesourcten Betriebsteil IT zuge- 
hörigen Mitarbeiter immer diesem Be- 
reich folgen, erst zum Outsourcer, nach 
Vertragende wieder zum Kunden oder 
zum neuen Anbieter. 

Leider ist jedoch die Zuordnung eines 
Mitarbeiters zu einem Betriebsteil nicht 
statisch: Der Anbieter setzt ihn recht 
schnell auch für andere Kunden ein. Da- 
mit wird diese Zuordnung zum outge- 
sourcten Betriebsteil zunehmend unkla- 
rer — mit der Folge, dass die Rückkehr 
der ehemaligen Mitarbeiter alles andere 
als sicher ist. Die Rückkehrerquote sinkt 
weiter, wenn die Karrierechancen beim 
Anbieter spannender erscheinen. Das 
Problem wächst, je länger ein Outsour- 
cing andauert und je weniger IT-Fach- 


a 


personal und Know-how noch im Kun- 
denunternehmen vorhanden sind. 

Die perfekte Lösung gibt es nicht und 
einer gewissen Fluktuation wird man im- 
mer ausgesetzt sein. Jedoch lassen sich 
die Auswirkungen begrenzen: Schon 
während des Outsourcings sollte man 
Maßnahmen ergreifen, die einerseits die 
Fluktuation bei wichtigen Positionen mi- 
nimieren und andererseits sicherstellen, 
dass Know-how zum Beispiel im Be- 
triebshandbuch dokumentiert wird und 
nicht einfach abfließt. Wenn man zusätz- 
lich auf Standards statt proprietäre Ab- 
läufe setzt, lässt sich fehlendes Know- 
how leichter wieder aufbauen. 

Sofern der Kunde Hardware an den 
Anbieter übertragen hat, ist das Thema 
in vielen Outsourcing- Verträgen schein- 
bar detailliert geregelt. Es gibt lange 
Assetlisten mit Aussagen über Eigen- 
tums- und Besitzverhältnisse, Miet- und 
Leasingverträge. Diese Listen erstellen 
die Beteiligten beim ursprünglichen 
Outsourcing, pflegen sie aber selten 
weiter. Bei einem Backsourcing oder 
einem Anbieterwechsel sind veraltete 
Listen unbrauchbar, denn schon nach 
wenigen Jahren ist der Großteil der 
Hardware ersetzt — Liste und Realität 
haben dann nichts mehr gemeinsam. 

Solange die Hardware nur 1:1 im 
Rahmen des Technology Refresh ausge- 
tauscht wird, lassen sich die Listen 
immerhin nachführen. Wenn sich im ab- 
zuwickelnden Outsourcing-Vertrag au- 
Berdem eine klare Regelung zur Kauf- 
preisbildung findet, Leasingverträge 
leicht übertragbar gestaltet sind und die 
Entsorgung alter Geräte festgelegt ist, 
sind die Hardwareklippen umschifft. 

Wenn der Anbieter aber seinem 
Auftrag gerecht wird, Skaleneffekte 
und Synergien zu heben, sieht alles 
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anders aus: Werden Systeme etwa 
durch Virtualisierung konsolidiert, kann 
man die eingesetzte Hardware keinem 
Kunden klar zuordnen, da sie für viele 
Kunden eingesetzt wird. Hardwarelis- 
ten lassen sich in diesem Moment nicht 
mehr einfach aktualisieren. Kunden ste- 
hen dann schnell vor dem Dilemma, ih- 
re Hardwarelandschaft neu planen und 
beschaffen zu müssen — was zumindest 
wertvolle Zeit Kostet. 

Die Erkenntnis, dass Konsolidierung 
und Innovation eine spätere Trennung 
erschweren, hat tatsächlich bereits dazu 
geführt, dass in einigen Outsourcing- 
Verträgen der Kunde seinem Anbieter 
ausdrücklich verbietet, Synergiepoten- 
ziale zu nutzen. Das mag den Ausstieg 
zwar erleichtern, der Kunde legt so aber 
einen Grundstein für den Misserfolg. 

Andere übertragen die Assets gar nicht 
erst, sondern beauftragen ihren Anbieter 
mit dem Asset-Management. Den unbe- 
strittenen Vorteil, Assets später nicht zu- 
rückübertragen zu müssen, erkauft man 
sich dabei jedoch einerseits mit deut- 
lichen Mehrkosten durch den erhöhten 
Verwaltungsaufwand für Managed Ser- 
vices, andererseits sind auch hier den 
Synergien Grenzen gesetzt. Nachteilig 
kann sich diese Struktur zudem auf die 
Durchsetzbarkeit von Service Level 
Agreements (SLAs) auswirken, denn die 
Wartungsverträge bleiben beim Kunden 
und die Verantwortung ist im Falle eines 
Problems schwieriger nachvollziehbar. 

Dabei ist es durchaus möglich, Hard- 
warelandschaften strukturell zu ändern, 
Synergien zu heben und dennoch ein 
Outsourcing sauber und schnell zu be- 
enden oder auf einen neuen Anbieter zu 
übertragen. Je nachdem, inwieweit der 
Kunde proprietäre Systeme benötigt, 
kann der Weg etwa über eine weitere 
Standardisierung der Leistungen oder 
über ein Joint-Venture-Modell gehen. 
Die Standardisierung führt zum Beispiel 
im Rechenzentrum dazu, dass der Kun- 
de keine Systeme, sondern nur noch 
MIPS, RAM und TByte in bestimmter 
Menge und Qualität vom Anbieter 
kauft. Ein Wechsel zu einem anderen 
Anbieter ist so leichter möglich und 
Preise sind besser vergleichbar. 

Wird hingegen spezielle Hardware 
benötigt, kann sich ein Joint-Venture- 
Modell lohnen. Hier gründen der Kun- 
de und der Anbieter ein gemeinsames 
Unternehmen, das die Assets hält und 
die Leistungen erbringt. Bei einem Back- 
sourcing übernimmt der Kunde dann 
das Unternehmen zu 100 % und erhält 
die sich im Unternehmen befindlichen 
Assets und Ressourcen. Für ein Next- 
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Generation-Outsourcing übernimmt die 
Geschäftsanteile der neue Anbieter. Die- 
ses Modell kann viel leisten, eignet sich 
aber nicht für jeden Fall und ist mit Be- 
dacht zu strukturieren, um nicht wieder 
Synergiepotenzial zu zerstören. 

Vergleichsweise einfach ist die Rück- 
übertragung von Individualsoftware des 
Kunden. Im Vertrag sind oft schon die 
richtigen automatischen Mechanismen 
vorgesehen, sodass man nur auf die 
vollständige Rückgabe achten muss. 

Anders sieht es bei Software aus, die 
von Drittherstellern geliefert wird. Hier 
muss der Kunde häufig an den Dritther- 
steller für die Rückübertragung zahlen. 
Das ist meistens der Fall, wenn der Out- 
sourcer bei Abschluss des Vertrages mit 
dem Dritthersteller nicht vereinbart hat, 
dass die Lizenz nach dem Outsourcing 
kostenfrei übertragen werden kann. 
Wenn der abzuwickelnde Outsourcing- 
Vertrag keine entsprechende Verpflich- 
tung enthält oder der Anbieter nicht 
selbst darauf geachtet hat, entstehen so 
vermeidbare Kosten. Wartungs- und 
Leasingverträge lassen sich nach den 
gleichen Grundsätzen mobil halten. 

Für die beim alten Anbieter gespei- 
cherten Kundendaten gilt es zu klären, 
wie und an wen die Daten zu überge- 
ben und dann beim alten Anbieter zu 
löschen sind. Sofern sich die Formate 
durch das Backsourcing beziehungs- 
weise die Übergabe an den neuen Out- 
sourcer nicht ändern, geht das in der 
Regel problemlos. Anders beim Wech- 
sel in neue Systeme, hier ist entweder 
eine Datenmigration zu planen oder es 
müssen, etwa bei Datensicherungen, 
mithilfe des alten Anbieters Tools für 
den Lesezugriff gesichert werden. 


Rückabwicklung 
nur Hand in Hand 


Auch wenn manche Kunden es kaum 
wahrhaben wollen: Ohne Kooperation 
und Unterstützung des bisherigen Out- 
sourcers auch nach dem eigentlichen 
Vertragsende funktioniert ein Backsour- 
cing so gut wie gar nicht und ein Next- 
Generation-Outsourcing wird zumindest 
in der Übergangsphase stark behindert. 
Neben den schon beschriebenen Un- 
terstützungsleistungen zur Übertragung 
von Know-how, Assets, Daten und Ver- 
trägen ist es oft erforderlich, dass der al- 
te Anbieter für einen Übergangszeit- 
raum noch Ressourcen vorhält, um den 
Betrieb auch bei Verzögerungen in der 
Übergangsphase zu sichern. Besonders 
notwendig ist die Zusammenarbeit 


nach einem Anbieterwechsel, denn im 
Rahmen der vorvertraglichen Sorg- 
faltsprüfung (Due Diligence) erhält der 
neue Anbieter naturgemäß oft nur un- 
vollständige Informationen vom alten 
Anbieter, weil dem alten Anbieter oft gar 
nichts an dem Wechsel liegt. Nach dem 
Wechsel klappt der Informationsfluss 
meist besser. 

Positiv auf die Migration wirkt sich 
häufig aus, dass es bei einer Trennung 
immer auch um die Reputation des al- 
ten Anbieters geht. In dieser Situation 
unternimmt er schon im eigenen Inter- 
esse vieles, um kooperativ zu erschei- 
nen und keine möglichen Kunden ab- 
zuschrecken. Verlassen kann man sich 
darauf natürlich nicht. 

Das Beenden eines Outsourcings be- 
lastet den Kunden in der Regel stärker 
als den Anbieter: Letztlich muss der 
Kunde seinen Produktivbetrieb auch 
zukünftig sicherstellen. Er trägt die mit 
der Rück- oder Weiterübertragung der 
Betriebsmittel, der Mitarbeiter und des 
Know-hows verbundenen fachlichen 
und finanziellen Risiken. 

Viele halten diese Risiken für unkal- 
kulierbar und sehen deshalb von der 
Rückabwicklung oder Neuvergabe kri- 
selnder Outsourcings ab. Das ist jedoch 
langfristig der falsche Weg, denn Ab- 
hängigkeit und Risiken werden dadurch 
nicht geringer. Außerdem vergibt man 
die Chance, die Qualität zu verbessern 
oder einfach vergleichbare Leistungen 
wieder strategischer am Markt nachzu- 
fragen — wie es das Outsourcing ja ur- 
sprünglich ermöglichen sollte. 

Der richtige Weg ist, den Fall des 
Backsourcings oder Anbieterwechsels 
möglichst frühzeitig vorzubereiten, denn 
so werden die Risiken eher transparent 
und damit nicht nur kalkulierbar, son- 
dern planbar. Im Idealfall beginnt man 
diese Planung parallel zu der des ersten 
Outsourcings, gestaltet die Verträge ent- 
sprechend und pflegt sie zusammen mit 
der Betriebsdokumentation. Aber selbst 
wenn der günstigste Zeitpunkt verpasst 
ist, lässt sich etwa durch ein gemeinsam 
mit dem Anbieter erstelltes Entflech- 
tungskonzept noch viel retten. Wichtig 
ist nur, dass man sich nicht von einem 
gut laufenden Outsourcing abhalten 
lässt: Gerade in dieser Situation lassen 
sich tragfähige Entflechtungskonzepte 
gemeinsam viel einfacher aufsetzen als 
in der Krise oder unter Zeitdruck. (ur) 
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puting sind Datenaufkom- 

men im Terabyte-Bereich 
keine Seltenheit. Schwierigkei- 
ten bereitet weniger die Abla- 
ge der ruhenden Daten als die 
Performance des notwendigen 
Hin- und Herkopierens wäh- 
rend der Berechnung, sei es 
von der Platte in den Haupt- 
speicher oder — im Falle von 
HPC-Clustern — von einem 
Knoten zum anderen. Außer- 
dem hängt davon die Turn- 
around-Zeit eines Jobs ab. 

Oft muss man diese Daten 
auf einen gemeinsamen Spei- 
cherbereich zwischenlagern. 
Typischerweise löst man die 
Aufgabe in HPC-Clustern, in- 
dem ein zentraler Dateiserver 
den Rechenknoten diesen Be- 
reich per NFS zur Verfügung 
stellt. Das offenbart vor allem 
bei größeren Clustern auch 
gleich die Grundproblematik 
dieses Ansatzes: Der NFS-Ser- 
ver stellt einen Flaschenhals 
dar und kann den gebündelten 
Anforderungen aller Rechen- 
knoten nicht mehr nachkom- 
men. Die Lösung ist nicht 
neu: sogenannte parallele oder 
verteilte Dateisysteme. Sie 
tragen dem Bedarf an skalier- 
baren Speicherkapazitäten und 
-bandbreiten Rechnung und 
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erlauben den direkten, paralle- 
len Zugriff mehrerer Clients. 


Ein Blick in 
die Geschichte 


Verteilte Dateisysteme sind an 
sich nichts Neues: neben Klas- 
sikern wie dem Andrew File 
System (AFS) und dem daraus 
abgeleiteten, aber mittlerweile 
völlig veralteten DCE/DFS 
(Distributed Computing Envi- 
ronment/File System) existie- 
ren inzwischen mächtige und 
leistungsfähigere kommerziel- 
le Produkte wie IBMs General 
Parallel File System (GPFS) 
oder SGlIs Clustered XFS 
(CXFS). Die Open-Source-Lö- 
sung Lustre ist in der Linux- 
HPC-Welt ebenfalls schon 
recht weit verbreitet. Sie 
schickt sich nun nach dem 
Kauf der bei der Entwicklung 
federführenden Firma Cluster 
File Systems (CFS) durch Sun 
im Jahr 2007 an, auch in der 
Solaris-Welt Fuß zu fassen. 
Neu ist, dass die IETF das 
altehrwürdige NFS in einer pa- 
rallelen Version ebenfalls zum 
Internet-Standard erheben will 
— mit dem Ziel, Interoperabi- 
lität zwischen allen Betriebs- 
systemen zu bieten. Das ur- 


sprüngliche Konzept für paral- 
lele NFS-Zugriffe beschrieb 
2004 Garth Gibson, Professor 
an der Carnegie Mellon Uni- 
versity (CMU) und späterer 
Gründer und CTO der Firma 
Panasas (siehe Onlinequellen 
[a]). Bekannt war Gibson be- 
reits als Koautor des histo- 
rischen „RAID-Papers“ von 
1988 [1]. Diese Ursprünge sind 
im Design von pNFS deutlich 
erkennbar. Das von Panasas 
entwickelte hochperformante 
HPC-Dateisystem Activescale 
PanFS mit den weiter unten be- 
schriebenen Object-Based Sto- 
rage Devices als zentralen 
Komponenten ist im Wesent- 
lichen die kommerzielle Fort- 
führung des ebenfalls von 
Garth Gibson ursprünglich an 
der CMU begründeten Projekts 
„Network-Attached Secure 
Disk (NASD)“ [b]. 

Mittlerweile existiert Ver- 
sion 21 des Internet Draft zu 
NFS Version 4.1, deren be- 
deutendste Neuheit zweifellos 
Parallel NFS (pNFS) darstellt 
[ec]. Namhafte Firmen wie 
EMC, IBM, Netapp und Sun 
schlossen sich dem Standardi- 
sierungsgremium an — nie- 
mand wollte es natürlich ver- 
passen, rechtzeitig auf den 
Zug aufzuspringen. 


Das verteilte Dateisystem pNFS 


Parallelwelten 


Oliver Tennert 


Datenintensive Applikationen für High Performance 
Computing müssen immer mehr Informationen in 
immer kürzerer Zeit bewegen. Neue Dateisysteme 
und Protokolle sollen dem Bedarf an skalierbaren 
Speicherkapazitäten und -bandbreiten Rechnung 
tragen sowie direkten, parallelen Zugriff mehrerer 
Clients ermöglichen. Eine Erweiterung des 
kommenden NFS 4.1 - Parallel NFS (pNFS) - soll 
das ebenfalls leisten. 


Erklärtermaßen soll pNFS als 
Teil von NFS 4.1 nicht nur 
dessen Semantik in Bezug auf 
Cache-Konsistenz oder Sicher- 
heit übernehmen, sondern auch 
eine möglichst einfache und in 
sich flexible Erweiterung des 
NFS-4-Protokolls darstellen. 
pNFES ist optional, NFS-4.1- 
Implementierungen müssen es 
also nicht beinhalten. 


Architektur mit 
vielen Protokollen 


Das pNFS-Protokoll führt eine 
Trennung von Meta- und Nutz- 
daten durch: Ein pNFS-Cluster 
besteht zum einen aus soge- 
nannten Storage Devices, die 
die Nutzdaten des verteilten 
Dateisystems beherbergen, und 
einem Metadatenserver (MDS) 
— dem eigentlichen NFS-4.1- 
Server — der Informationen 
darüber bereithält, auf welchen 
Storage Devices und an wel- 
cher Position auf diesen sich 
Teile einer bestimmten Datei 
befinden, das sogenannte Lay- 
out. Die Referenzierung von 
Storage Devices erfolgt über 
sogenannte Device-IDs. Eine 
Liste aller Client-IDs und de- 
ren Zuordnung zu tatsäch- 
lichen Hostnamen bezie- 
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Speicher- 
zugriffs- 
protokoll 


Storage 
Device 


* File NFS 4) 


Exemplarische pNFS-Client- 
Implementierung, wie sie im 
Großen und Ganzen bei Linux 
auch realisiert ist (Abb. 2). 


generisches 
Layout-Handling/ Caching 


File- Layout- 
Treiber 


« Object 
« Block (SCSI) 


Kontrollprotokoll 


Storage 

Device Storage 
Device 

OPEN (Datei) 

LAYOUTGET (Datei) 


® MSD schickt dem Client das Dateilayout 
[O) Client führt paralleles 1/O zu den 


Storage Devices durch 


(& LAYOUTCOMMIT/CLOSE 


Die pNFS-Protokollarchitektur am Beispiel des schema- 
tischen Ablaufs der Kommunikation zwischen pNFS-Client 
und MDS sowie den Storage Devices beim Dateizugriff 


(Abb. 1) 


hungsweise SCSI-LUNs oder 
Volume Names kann ein 
pNFS-Client über die RPC- 
Operation GETDEVICELIST 
erhalten. Neben diesen „Stri- 
ping-Parametern“ speichert 
der MDS auch sämtliche an- 
deren Metadaten wie Zu- 
griffsrechte oder Ähnliches, 
die sich üblicherweise im In- 
ode einer Datei befinden. 

Clients und MDS kommu- 
nizieren untereinander über 
das neue NFS-4.1-Protokoll, 
und der NFS-Mount eines 
pNFS-Dateisystems erfolgt 
über den MDS. Das neue, da- 
teisystemspezifische Attribut 
fs_layout_type gibt an, welche 
sogenannten Layout-Typen 
dieses Dateisystem unterstützt. 
Sie bestimmen das Speicher- 
zugriffsprotokoll (,„Storage 
Access Protocol“), mit dem 
die Clients auf die Storage De- 
vices zugreifen können. Bis- 
lang definiert NFS 4.1 drei 
potenzielle Speicherzugriffs- 
protokolle: datei-, block- und 
objektbasiert. 


Will ein pNFS-Client auf 
eine bestimmte Datei oder 
Teile davon zugreifen, schickt 
er eine OPEN- gefolgt von ei- 
ner LAYOUTGET-Operation 
an den MDS, der ihm das 
Layout für die Datei oder den 
entsprechenden Teil zurück- 
liefert. Der Besitz des Layouts 
einer Datei stellt für den 
Client implizit auch das Recht 
dar, auf diese zuzugreifen. 

Zu guter Letzt existiert ein 
Kontrollprotokoll („Control 
Protocol“), das MDS und Sto- 
rage Devices zur Synchroni- 
sierung von Zustandsdaten 
verwenden. Dies ist im Stan- 
dard absichtlich unspezifiziert, 
um Herstellern eine gewisse 
Flexibilität zu erlauben. Der 
NFS-4.1-Standard gibt aber 
Rahmenbedingungen für ein 
Kontrollprotokoll, beispiels- 
weise zur Behandlung der 
Change-/Modify-Time-Attri- 
bute von Dateien. 

Abbildung 1 zeigt sche- 
matisch die Abläufe beim 
Datenzugriff via pNFS. Diese 


den Knoten eines Clusters. 


Durchsatz verspricht. 


A-TRACT 


@ Eine der großen Herausforderungen im High Performance 
Computing ist die Geschwindigkeit des Datentransports 
entweder vom Storage in den Hauptspeicher oder zwischen 


© Bei Clustern wird ein NFS-Server zur Bereitstellung des 
gemeinsamen Speichers schnell zum Flaschenhals für die 
Turnaround-Zeiten eines Jobs. 


© Mit dem kurz vor der Verabschiedung stehenden NFS 4.1 
hält als Option pNFS Einzug in den NFS-Standard, das 
mit Parallelisierung des Datenzugriffs deutlich besseren 
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Möglicher Aufbau eines pNFS-Clusters mit Load Balancing 
bei den MDS. Das Clustering der MDS selbst spezifizieren 
die Standards nicht (Abb. 3). 


Art des asymmetrischen Zu- 
griffs ist von Activescale 
oder Lustre wohlbekannt und 
stellt quasi eine Out-of-Band- 
Virtualisierung des globalen 
pNFS-Namespace dar. Sie 
entlastet den Metadatenserver 
vom eigentlichen Datenfluss 
und bietet eine Möglichkeit 
des parallelen Zugriffs auf 
Storage Devices über ein 
Transportnetzwerk. 

pNFS sieht die Abwärts- 
kompatibilität mit nicht-pNFS- 
fähigen NFS-4-Clients derart 
vor, dass in diesem Falle der 
MDS den Datenzugriff auf die 
Storage Devices im Namen 
des Clients vornimmt und die- 
sen via NFS 4 die Daten be- 
reitstellt. Der MDS fungiert 
dabei quasi als Proxy-Server. 


Eine Frage der 
Layout-Typen 


Ein pNFS-Client behandelt das 
vom MDS erhaltene Layout 
fast vollkommen opak: Er 
interpretiert nur die Informa- 
tion über das zu verwendende 
Speicherzugriffsprotokoll. Die- 
ses bestimmt, welchen client- 
seitigen Layout-Treiber er zum 
Generieren eines IO-Requests 
einsetzt. Alle weiteren Infor- 
mationen wie Striping-Parame- 
ter oder Capabilities reicht der 
Client unverändert an die Sto- 
rage Devices weiter. Erst Letz- 
tere interpretieren die Layout- 


Informationen und bearbeiten 
damit den IO-Request des 
pNFS-Client. Sie modifizieren 
auch selbstständig bei entspre- 
chenden Schreibzugriffen auf 
eine Datei deren Layout und 
geben es an den pNFS-Client 
weiter. Der wiederum infor- 
miert den MSD mit der Opera- 
tion LAYOUTCOMMIT über 
das neue Layout. pNFS-Clients 
können die Layouts aber auch 
über mehrere OPEN/CLOSE- 
Sequenzen hinweg zwischen- 
speichern. 

Allerdings garantiert die 
Spezifikation dem pNFS- 
Client, dass im Falle einer an- 
stehenden Layout-Modifika- 
tion durch einen anderen 
Client der MDS das Layout 
vor der Änderung per Call- 
back CB_LAYOUTRECALL 
zurückfordert. Benötigt ein 
Client aus irgendeinem Grund 
das Layout einer Datei nicht 
mehr, gibt er es über die RPC- 
Operation LAYOUTRETURN 
gewissermaßen wieder frei. 

Wenn Storage Devices als 
schlichte NFS-4-Fileserver 
agieren, kommt das File-Lay- 
out zum Einsatz. Es ist das 
einzige Speicherzugriffsproto- 
koll, dessen Beschreibung sich 
direkt im NFS-4.1-Standard 
[e] findet und dessen Spezifi- 
kation Netapp, Sun und IBM 
maßgeblich mitgestaltet haben. 

Es enthält somit neben den 
Stripe-Größen, und -Lokatio- 
nen (Storage Devices) auch 
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die NFS-Filehandles, die der 
Client für den Zugriff auf die 
einzelnen Dateibereiche ver- 
wenden muss. Das File-Layout 
ist kompakt und statisch, die 
Striping-Informationen ändern 
sich selbst bei Änderungen an 
der Datei nicht, sodass auch 
mehrere pNFS-Clients gleich- 
zeitig das Layout zwischen- 
speichern können und kein 
Synchronisierungs-Overhead 
zwischen Clients und MDS 
beziehungsweise MDS und 
Storage Devices anfällt. 
Dateisystemrechte und 
Clientauthentisierung lassen 
sich mit dem File-Layout sehr 
gut abbilden. Beim Einsatz 
von NFS 4 als Zugriffsproto- 


koll kommt es lediglich auf 
den verwendeten Security Fla- 
vor für die Client-Authentisie- 
rung an — bei Verwendung des 
Security Flavors RPCSEC_ 
GSS erfolgt der Client-Zugriff 
beispielsweise kerberisiert; der 
Server setzt Zugriffsrechte al- 
so anhand gesetzter ACLs und 
über kryptografische Verfah- 
ren durch [2,3]. 


Jenseits der 
Dateiorientierung 


Hingegen verwendet das 
Block/V olume-Layout [d] - 
stark beeinflusst durch das 
von EMC für NAS-Heads 


Neue Generation 


NFS 4.1 erweitert den im 
April 2003 als RFC 3530 for- 
mulierten Standard NFS 4 um 
einige neue Eigenschaften, al- 
len voran das parallele Datei- 
system pNFS. Eine weitere 
wichtige Neuerung ist die Ein- 
führung sogenannter Sessions. 


Eine Session ist ein vom 
Client dynamisch erzeugtes, 
persistentes Serverobjekt. Mit 
dessen Hilfe können Clients 
den Zustand einer NFS-Ver- 
bindung aufrechterhalten, egal 
ob diese gerade besteht oder 
nicht. Der Zustand überlebt 
daher auch zeitweilige Ausfäl- 
le sowohl des Servers als auch 
des Clients. 


Jede Session hat einen soge- 
nannten Fore Channel, die lo- 
gische Verbindung vom Client 
zum Server für alle RPC-Ope- 
rationen und optional einen 
Backchannel für RPC-Call- 
backs des Servers. Jedem 
Channel sind eine oder mehre- 
re Transportverbindungen zu- 
geordnet. 


Damit lassen sich auch Call- 
backs durch Firewall-Grenzen 
hindurch realisieren, was bis- 
lang bei NFS 4 noch nicht in 
jedem Fall funktionierte. 


Sessions erlauben unter ande- 
rem ein sogenanntes Trunking, 
sprich das Koppeln mehrerer 
physischer Transportverbindun- 
gen zwischen Client und Server 
zur selben Session, um den Da- 
tendurchsatz zu erhöhen. Ne- 


130 


ben diesem Session Trunking 
existiert noch das Client-ID 
Trunking, das mehrere Ses- 
sions zur selben Client-ID 
zusammenfasst. 


Über Sessions realisiert NFS 4 
erstmals auch eine sogenannte 
Exactly-Once-Semantik (EOS): 
Bislang half zwar ein meist im- 
plementierter, aber vollkom- 
men unspezifizierter Reply 
Cache eines NFS-Server in ei- 
nigen Fällen, mehrmals über- 
tragene RPC-Operationen zu 
erkennen. Trotzdem war bei- 
spielsweise nach einem Neu- 
start nicht auszuschließen, dass 
der NFS-Server nicht-idem- 
potente Operationen wie RE- 
NAME mehrfach ausführte und 
damit sein Verhalten aus der 
Sicht des Clients unter Umstän- 
den nicht vorhersagbar war. 
NEFS 4.1 fordert nun explizit ei- 
nen Reply Cache, der persistent 
auf Platte liegt und die Server- 
Replies auf RPC-Operationen 
speichert. 


Zu guter Letzt bieten Sessions 
eine erhöhte Sicherheit der 
RPC-Kommunikation, unter 
anderem durch das Einbinden 
von Callbacks in einen client- 
seitig vorgegebenen GSSAPI- 
Security-Context. 


Neben einigen zusätzlichen 
RPC-Operationen ist als wei- 
tere Neuerung die Möglichkeit 
der Delegation für Verzeich- 
nisse zu nennen. Bislang war 
Delegation nur für Dateien 
möglich. 


entwickelte Multi-Path File 
System MPFS/MPFSi (früher 
als High Road bekannt) — Vo- 
lume-Namen und Block-Off- 
sets sowie -Extents zur Spezi- 
fikation des Layouts einer 
Datei. Der Zugriff auf die Sto- 
rage Devices erfolgt demnach 
über die SCSI-Block-Kom- 
mandos. Da sich bei jedem 
schreibenden Zugriff auch die 
Blockverteilung ändern kann, 
muss das Layout häufiger ak- 
tualisiert werden als beim File- 
Layout. Meist beinhalten Vir- 
tualisierungskomponenten wie 
Volume Manager oder ent- 
sprechende Appliances kon- 
krete Implementierungen, weil 
die Spezifikation eindeutige 
Volume-Namen zwingend vor- 
schreibt. 

Beim blockbasierten Zugriff 
auf die Storage Devices exis- 
tiert keine wirklich sichere Au- 
thentisierungsmöglichkeit des 
SCSI-Initiators. Ein Zugriffs- 
schutz im SAN erfolgt meist 
mit der Granularität ganzer 
Hosts, etwa auf Basis von 
World Wide Names (WWNs) 
bei Fibre Channel oder von In- 
itiator Node Names (IQNs) bei 
iSCSI. Diese Grobgranularität 
stellt eine potenzielle Gefahr 
bei fehlerhaften oder böswilli- 
gen Clients dar. Abgesehen 
von der Frage clientseitiger 
Authentisierung, die lediglich 
iSCSI wenigstens bis zu einem 
gewissen Maß beantwortet, hat 
der Client entweder vollen Zu- 
griff auf das Gerät oder ist 
komplett ausgesperrt. Die Ein- 
haltung der per Dateisystem 
gewährten Zugriffsrechte setzt 
der Server nicht durch. Viel- 
mehr hält sich ein pNFS-Client 
quasi freiwillig an die gewähr- 
ten Rechte, das Storage Device 
muss dem pNFS-Client also 
vertrauen — eine grundsätzliche 
Schwäche der Zugriffskontrol- 
le, das sich wie ein roter Faden 
durch die Geschichte des NFS- 
Protokolls zieht. 

Syntaktisch ähnelt das Ob- 
ject-Layout [e] dem File- 
Layout. Es benutzt aber das 
SCSI Object Command Set 
für den Datenzugriff auf soge- 
nannte Object-Based Storage 
Devices (OSDs) [f, g]. Bei de- 
ren Entwicklung ging es von 


Anfang um sichere Authenti- 
sierung und Zugriffskontrolle. 

Die Sicherheit von OSDs 
beruht auf sogenannten Capa- 
bilities (Befähigungen) — ein 
Terminus, der in formalen Si- 
cherheitsmodellen wohlbe- 
kannt ist. In diesen klassischen 
Subjekt-Objekt-Modellen ist 
eine Capability subjektgebun- 
den und stellt ein authoritatives 
Zugriffsrecht auf ein Objekt 
oder eine Klasse von Objekten 
dar. Bei OSDs erfolgt der 
Datenzugriff unter Vorlage 
einer kyptografisch gesicher- 
ten Capability, die das Sto- 
rage Device selbst überprüft. 
Das Object-Layout enthält die- 
se Capability, sofern die datei- 
basierten Zugriffsrechte den 
gewünschten Zugriff erlauben. 
Anders ausgedrückt realisieren 
OSDs das klassische Referenz- 
monitor-Modell: die Policy 
wird in diesem Fall vom MDS 
— dem Referenzmonitor — defi- 
niert, den Mechanismus zur 
Durchsetzung (,„Enforcement“) 
legt aber das Storage Device 
fest. Änderungen an den ACLs 
(beispielsweise durch chmod- 
Kommandos oder Ähnliches) 
ziehen also stets Änderungen 
in den Objektstrukturen auf 
den OSDs nach sich. 

pNFS ist erweiterbar für die 
spätere Einführung neuer Spei- 
cherzugriffsprotokolle, und Be- 
triebssystem- und Storage-Her- 
stellern steht es frei, zusätzliche 
Layout-Treiber für ihre pPNFS- 
Implementierungen zu liefern. 
Abbildung 2 zeigt modellhaft 
eine exemplarische pNFS- 
Client-Implementierung. 


Client-Fencing 
für den Fehlerfall 


In einer Fehlersituation, bei- 
spielsweise dem Ausfall von 
Netzwerkleitungen, muss es 
zur Vermeidung von Daten- 
korruption möglich sein, ein- 
zelnen pNFS-Clients den Zu- 
griff auf die Storage Devices 
dauerhaft zu verwehren (Fen- 
cing). Abgesehen von einer 
passenden Detektionslogik für 
diesen Fall kann beispiels- 
weise der MDS bei Block/Vo- 
lume-Layouts einen Zugriff 
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auf die Management-Inter- 
faces für das SAN besitzen, 
um ein entsprechendes LUN- 
Masking oder ein Zoning 
durchzuführen. 

Bei der Verwendung von 
File-Layouts macht der MDS 
die Filehandles ungültig (‚„in- 
validate“), die die pNFS- 
Clients besitzen, indem er die 
Storage Devices über das 
Kontrollprotokoll informiert. 
pNFS-Clients erhalten in die- 
sem Fall den wohlbekannten 
Fehler „stale NFS handle‘. In 
jedem Fall müssen Clients 
aber einen Timeout-basierten 
Fencing-Mechanismus für sich 
selbst bereitstellen. 

Bei OSDs sieht das Sicher- 
heitsmodell vor, dass das Sto- 
rage Device beim Objektzu- 
griff in der Capability des 
zugreifenden Clients das so- 
genannte Policy Access Tag 
mit dem Wert auf dem MDS 
vergleicht. Stimmen diese 
Werte nicht überein, verwei- 
gert es dem Client den Zu- 
griff. Auf diese Weise lässt 
sich Fencing beim Object 
Layout realisieren. 


Verfügbarkeit 
und Lastverteilung 


Architekturseitig erlaubt pPNFS 
den Einsatz mehrerer Meta- 
datenserver, die sich über ein 
nicht näher spezifiziertes, 
durchaus auch herstellerabhän- 
giges Kohärenzprotokoll ab- 
gleichen. Ein einzelner Client 
muss sich zwar per Mount an 
einen beliebigen, aber festen 
MDS binden, verschiedene 
Clients lassen sich dann aber 
wiederum auf verschiedene 
Metadatenserver verteilen — 
solange diese den selben glo- 
balen Namensraum exportie- 
ren und untereinander für eine 
Kohärenz der Layouts sorgen. 

Eine zusätzliche Lastvertei- 
lung über mehrere Storage De- 
vices funktioniert, wenn diese 
beispielsweise ein auf einem 
SAN lokalisiertes Cluster-Da- 
teisystem per NFS 4 expor- 
tieren. Über das File-Layout 
kann der MDS die pNFS- 
Clients für den Datenzugriff an 
ein beliebiges Storage Device 
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— also einen NFS-4-Server — 
verweisen. Das Layout selbst 
erzeugen die MDS dynamisch, 
um eine Lastverteilung oder 
eine Hochverfügbarkeit zu re- 
alisieren. Dazu müssen sie in 
der Lage sein, Ausfälle von 
Storage Devices zu erkennen 
und das Layout passend zu ge- 
nerieren. Darüber hinaus muss 
das Cluster-Dateisystem im 
Backend eine ausreichende 
Redundanz bieten (siehe Ab- 
bildung 3). Die pPNFS-Spezifi- 
kation jedenfalls enthält in die- 
ser Hinsicht keine Vorgaben. 


Status und 
Ausblick 


Derzeit sind die Arbeiten so- 
wohl an einer Linux- als auch 
einer Opensolaris-Unterstüt- 
zung für pNFS in vollem 
Gange. Für Linux existiert 
schon lange ein Prototyp mit 
dem parallelen Dateisystem 
PVFS2 (Parallel Virtual File 
System) als Speicherzugriffs- 
protokoll. PVFS2 [h] ist eben- 
falls ein asymmetrisches, pa- 
ralleles Dateisystem, das aber 
ein zum Zeitpunkt der Erstel- 
lung festgelegtes, sogenanntes 
algorithmisches Layout ver- 


a] pNFS Problem Statement 


b] NASD: Network Attached Secure Disks 
c] NFS Version 4 Minor Version 1 draft 21 
d] pNFS Block/Volume Layout draft 6 

e] Object-Based pNFS Operations draft 5 


wendet und daher einen rela- 
tiv schlanken Overhead in 
der Kommunikation zwischen 
MDS und PVFS2-Servern auf- 
weist. Der MDS stellt gleich- 
zeitig einen PVFS2-Client dar 
und fungiert daher quasi als 
pNFS-PVFS2-Gateway. Mit 
dem Support von NFS 4 im 
Kernel unterstützt Linux auch 
das per Standard spezifizierte 
File-Layout — was maßgeblich 
der Arbeit von Netapp-Mitar- 
beitern, allen voran Trond 
Myklebust zu verdanken ist. 
Daneben existieren ein CITI- 
Projekt, um das Block-Layout 
für Linux zu implementieren 
[i] und ein Opensolaris-Pro- 
jekt für die Unterstützung von 
OSDs ]j]. 

Inzwischen haben namhaf- 
te Betriebssystem- und Sto- 
rage-Hersteller wie EMC, Net- 
app, Panasas oder IBM den 
Inhalt von Draft 21 des ge- 
planten NFS-4.1-Standards für 
den nächsten Bakeathon 2008 
in Austin, Texas, fertiggestellt 
- ein traditionelles Event, auf 
dem Storage- und OS-Herstel- 
ler ihre NFS-Implementierun- 
gen gegeneinander auf Inter- 
operabilität testen. 

Im März 2008 steht das 71. 
IETF-Meeting in Philadelphia 


www.pdl.cmu.edu/pNFS/ 


an, wo man mit Spannung 
verfolgen kann, ob NFS 4.1 
und damit pNFS in den Status 
eines RFC (Request for Com- 
ments) erhoben wird, die 
nächste Entwicklungsstufe in 
Richtung eines vollwertigen 
Internet-Standards. (avr) 


DR. OLIVER TENNERT 


ist Head of Technology bei 
der Tübinger transtec AG. 
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Softwaresicherheit 


Sicherheitslücken in Anwendungen vorhersagen 


Lückenhaft 


Stephan Neuhaus, 


Andreas Zeller 


ass Lücken in Software 
D enorme Schäden verur- 

sachen, ist bekannt: Ein 
Bericht des FBI geht allein für 
2005 von 67 Milliarden US- 
Dollar Schaden durch Com- 
puterkriminalität aus, das 
meiste davon durch schadhaf- 
te Software. Das Dilemma: 
Um Schaden abzuwenden, 
müsste man sich gezielt um 
kritische Komponenten küm- 
mern, wenn man nur wüsste, 
welche das sind. 

Eine Möglichkeit wäre, 
der Intuition des Program- 
mierers zu vertrauen. Schreibt 
er beispielsweise an einer 
Web-Suite wie Mozilla, so 
weiß er, dass vermutlich der 
gesamte Bereich um Javascript 
verdächtig ist, denn dort traten 
schon häufig Sicherheitslücken 
auf. Mit dieser Methode las- 
sen sich sicherlich einige be- 
sonders gefährdete Bereiche 
finden, aber nicht alle. 

Eine bessere Lösung ist 
es, sich gezielt der Informa- 
tionen zu bedienen, die wäh- 
rend eines Softwareprojekts 
ohnehin anfallen: Versionsar- 
chive und Fehlerdatenban- 
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ken. Wenn man die Informa- 
tionen aus diesen beiden Quel- 
len verknüpft, kann man genau 
herausfinden, wo Sicherheits- 
lücken sind (siehe Kasten 
„Von Fehlerdatenbanken zu 
Sicherheitslücken‘“). Dieser An- 
satz wurde im Werkzeug 
„Vulture‘ (englisch für „Geier“‘) 
realisiert. Es entstand im Rah- 
men eines Forschungsprojek- 
tes an der Universität des 
Saarlandes. 


Die Karte bringt 
es an den Tag 


Wendet man Vulture beispiels- 
weise auf die Web-Suite Mo- 
zilla an, entsteht eine Karte, 
wie sie in Abbildung 1 zu se- 
hen ist. Diese Karte zeigt den 
kompletten Quellcode-Baum 
von Mozilla als Treemap. 
Rechtecke entsprechen Quell- 
code-Dateien beziehungsweise 
Verzeichnissen. Die Fläche ei- 
nes Rechtecks ist dabei pro- 
portional zu seiner Größe. 
Quellcode-Dateien ohne Lü- 
cken sind dort weiß dargestellt. 
Dateien mit einer oder mehr 
Lücken haben einen mehr oder 
weniger starken Rotton: Je öf- 
ter in einer Datei eine Sicher- 
heitslücke beseitigt werden 
musste, desto stärker ist sie rot 
gefärbt. 


gen 


Zum Vorhersagen von Sicherheitslücken 
reicht oft ein Blick in die Vergangenheit. 
Das Werkzeug „Vulture” durchkämmt die 


Fehlergeschichte eines Projekts, bildet die Lücken 
auf einzelne Komponenten ab und sagt für neue 
Komponenten voraus, wie wahrscheinlich 


Auf der Karte erkennt man 
unten links einen stark rot ge- 
färbten Bereich. Der gehört 
zum Verzeichnis „js“, also 
dem Verzeichnis, in dem sich 
der Javascript-Interpreter be- 
findet. Javascript scheint dem- 
nach in der Vergangenheit 
häufig zu Sicherheitslücken 
geführt zu haben, eine Beob- 
achtung, die für Sicherheits- 
interessierte nicht neu ist. 
Überraschender ist aber, dass 
auch ein anderer Bereich 
ziemlich rot ist: das darüber 
liegende Verzeichnis „layout“. 
Anscheinend sind also auch 
diejenigen Teile von Mozilla 
anfällig für Lücken, die erst 
einmal nichts mit der Ausfüh- 
rung von Code zu tun haben. 

Damit ist die Karte selbst 
schon wertvoll, weil sie un- 
geahnte Erkenntnisse über die 
Verteilung von Lücken im 
Quellcode liefert. Da das Ver- 
fahren außerdem völlig auto- 
matisch und ohne Rückgriff 
auf Intuition abläuft, gibt es 
dem Mozilla-Projekt ein Werk- 
zeug an die Hand, mit dem die 
Beteiligten objektiv die Vertei- 
lung von Sicherheitslücken er- 
kennen und damit die Auftei- 
lung von Ressourcen auf die 
einzelnen Verzeichnisse oder 
Dateien planen können. 

So eine Karte kann zudem 
jeder erstellen, der über ein 


Sicherheitslücken sind. 


Versionsarchiv und eine Bug- 
Datenbank verfügt und dar- 
über hinaus eine Möglichkeit 
hat, unter den Bugs diejenigen 
zu identifizieren, die Lücken 
darstellen. 


Ganz ohne 
Glaskugel 


Allerdings möchte man nicht 
bei einer einfachen Beschrei- 
bung der vergangenen Lü- 
cken stehen bleiben, sondern 
stattdessen eine Möglichkeit 
haben, vorherzusagen, in wel- 
chen Dateien noch unent- 
deckte Fehler lauern. 

Wie sieht das in der Praxis 
aus? Eine einfache Vorhersa- 
gemöglichkeit ergibt sich bei- 
spielsweise aus der Idee, dass 
Dateien, die in der Vergangen- 
heit Lücken hatten, auch in 
Zukunft solche haben werden. 
Betrachtet man aber die tat- 
sächlich Anzahl der Lücken 
pro Datei, erlebt man eine wei- 
tere Überraschung: Die meis- 
ten Dateien enthalten nämlich 
nur eine Lücke. Ihre Anzahl ist 
mehr als doppelt so groß wie 
die Anzahl der Dateien mit 
zwei oder mehr Lücken zu- 
sammengenommen (Abb. 2). 

Man erwischt also mit einer 
solchen Vorhersage all dieje- 
nigen Dateien nicht, die nur 
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Im Quellcode-Baum von Mozilla sind Dateien und Verzeichnisse je nach Vorkommen von Sicherheitslücken schwächer 
oder stärker rot eingefärbt. Wenig überraschen die zahlreichen roten Flächen im Javascript-Bereich (js) links unten - 
diejenigen im darüberbefindlichen Verzeichnis „layout“ hingegen schon (Abb. 1). 


einmal wegen einer Lücke 
geändert werden müssen. Da 
es sich dabei um mehr als 
zwei Drittel aller lückenhaf- 
ten Dateien handelt, eignet 
sich die Anzahl der bisheri- 
gen Lücken pro Datei nicht 
zur Vorhersage. 

Trotzdem ist die Idee der 
Vorhersage grundsätzlich Er- 


folg versprechend: Man sucht 
Eigenschaften von Dateien, 
die in der Vergangenheit mit 
Lücken zusammenhingen, und 
postuliert, dass das auch in 
Zukunft so sein wird. 

Die Methode, aus Zu- 
sammenhängen, die in der 
Vergangenheit beobachtet 
wurden, auf zukünftige zu 


schließen, heißt „überwach- 
tes Lernen“. Ist man bei- 
spielsweise überzeugt, dass 
lange Quellcode-Dateien für 
Lücken anfälliger sind als 
kurze, würde man etwa fol- 
gendermaßen vorgehen. 
Zunächst werden Dateien 
aufgrund des Wissens, das die 
Vulture-Software liefert, in 


„lückenhaft“ und „(bisher) 
nicht lückenhaft“ eingeteilt. 
Außerdem ist die Länge der 
Quellcode-Dateien zu ermit- 
teln. Dabei soll eine Maschi- 
ne eine Funktion (auch „Mo- 
dell“ genannt) so lernen, dass 
möglichst oft bei der Eingabe 
der Länge einer Datei richtig 
herauskommt, ob sie in der 
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V und I IV und I Indudes 
19 0 
19 0 
15 0 
14 0 
13 0 
13 0 
34 1 
29 1 
2 1 

1 


18 


nslEventlistenerManager.h, nslPresShell.h 
nsReadableUtils.h, nslPrivateDOMEvent.h 
nslSeriptGlobalObject.h, nsDOMError.h 
nslISeriptGlobal0bject.h, nsDOMCID.h 

nsIContent.h, nslInterfaceRequestorltils, nsContentltils.h 
nsISupportsPrimitives.h, nsContentVtils.h 

nsCOMPtr, nsEventDispatcher.h 

nsReadableltils.h, nsGUlEvent.h 
nslScriptSecurityManager.h, nslContent.h, nsContentVtils.h 
nsWidgetsCiD.h, nsContentVtils.h 


Die erste Spalte enthält die Anzahl der Dateien, die die mit 
Lücken assoziierten Include-Dateien aufweisen (I) und die 
in der Vergangenheit schon Lücken hatten (V). Die zweite 
Spalte enthält die Anzahl der Dateien, die diese Include- 
Dateien zwar aufweisen, aber keine Lücken hatten. 


Vergangenheit verwundbar 
war oder nicht. 

Um zu evaluieren, ob so 
ein Vorhersagemodell etwas 
taugt, wird nur mit einem 
Teil der möglichen Eingaben, 
der „Trainingsmenge“, ge- 
lernt und mit dem so erstell- 
ten Modell der andere Teil, 
die „Validierungsmenge“, vor- 
hergesagt. Anhand der Vor- 
hersagen und der tatsäch- 
lichen Ergebnisse für die 
Validierungsmenge kann man 
dann zählen, wie oft die Vor- 
hersage mit der Wirklichkeit 
übereingestimmt hat. 


Mit Modellen 


zur Vorhersage 


Im genannten Beispiel würde 
man also zählen, wie oft das 
Modell korrekt vorhergesagt 
hat, ob eine Datei Lücken 
aufweist oder nicht. In der 
Praxis haben sich für solche 
Modelle zwei Gütemaßstäbe 
durchgesetzt: 


- Der „Recall“ sagt aus, wel- 
cher Prozentsatz der lücken- 
haften Dateien korrekt als lü- 
ckenhaft klassifiziert wurde. 
— Die „Precision“ sagt aus, 
welcher Prozentsatz der als 
lückenhaft klassifizierten Da- 
teien auch tatsächlich lücken- 
haft war. 

Bei der Suche nach diesen 
Eigenschaften, die mit Lücken 
zusammenhängen, möchte man 
aufwendige Quellcode-Analy- 
sen möglichst vermeiden. Es 
stellte sich heraus, dass Include- 
Anweisungen und Funktions- 
aufrufe besonders gute Vorher- 
sagen über Lücken erlauben. 
Include-Anweisungen sind An- 
weisungen für den C-Präpro- 
zessor. Dieser ist Teil des Über- 
setzungsvorgangs und wird vor 
dem Übersetzer aufgerufen. 


Verdächtige 
Kandidaten 


Include-Anweisungen bewir- 
ken, dass der Inhalt einer 


Rang Komponente 
1s/sre/jsxdrapi 
[s/sre/isscope 


[s/sre/isatom 
1s/sre/jsdate 


 -_ovoc cc we eoßm -— 


verwundbar 


modules/plugin/hase/sro/ns/SNPRuntime = 


cck/expat/xmlparse/xmlparse = 
Jayout/xul/base/sre/nsSliderFrame 5 
dom/sro/base/nsJSUrils 
layout /tables/nsTableRowFrame = 
0 layout/hase/nsFrameManager 


In der Tabelle finden sich die vorhergesagten lückenhaften 
Quellcode-Dateien für Mozilla vom Januar 2007. Die letzte 


“u 


Spalte enthält ein „ 


‚ wenn in der betreffenden Komponente 


bis zum Juli 2007 tatsächlich Lücken behoben werden 


mussten. 


Datei (einer sogenannten „Hea- 
der-Datei“) vor dem eigent- 
lichen Übersetzungsvorgang 
an der angegebenen Stelle in 
den Quellcode einfügt wird. 
(Die C- beziehungsweise C++- 
Standards schreiben nicht vor, 
dass tatsächlich der Inhalt der 
Datei eingefügt wird, sondern 
besagen, dass das Ergebnis so 
sein soll, „als ob“ die Datei 
eingefügt worden wäre. Für 
das Projekt ist das ein zu ver- 
nachlässigender Unterschied.) 

Welche Belege gibt es, 
dass Include-Anweisungen 
oder Funktionsaufrufe mit Lü- 
cken zusammenhängen? Be- 
trachtet man einmal bei Mo- 
zilla diejenigen Dateien, die 
Include-Anweisungen sowohl 
für ns/Content.h, nsIInterface 
RequestorUtils.h als auch 
nsContentUtils.h enthalten, 
stellt man fest, dass diese 13 
Dateien alle wegen Sicher- 
heitslücken geändert werden 
mussten. 

Ähnliches findet sich bei 
denjenigen Dateien, die In- 


Von Fehlerdatenbanken zu Sicherheitslücken 


Fehlerdatenbanken enthalten 
für jeden bekannten Fehler ne- 
ben einer Beschreibung eine 
Fehlernummer, die diese Fehler- 
beschreibung eindeutig benennt. 
Versionsarchive wiederum spei- 
chern die Anderungen an einem 
Softwareprojekt. Dazu gehören 
die geänderten Dateien und ein 
kurzer Text, der die Anderung 
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beschreibt. Handelt es sich da- 
bei um einen Bugfix, enthält der 
Text meistens auch die Fehler- 
nummer als Bezug zu den Da- 
teien, die geändert wurden, um 
den Bug zu fixen. 


Jetzt gilt es nur noch herauszu- 
finden, bei welchen Fehler- 
nummern es sich um Sicher- 


heitslücken handelt. Am leich- 
testen geht das, wenn wie beim 
Mozilla-Projekt eine Daten- 
bank existiert, die zu jeder 
Lücke die davon betroffenen 
Fehlernummern ausweist. Auf 
diese Weise kommt man ausge- 
hend von einer Sicherheitslücke 
an die Fehlernummern und zu 
den betroffenen Dateien. 


clude-Anweisungen sowohl für 
nsIScriptSecurityMana ger.h, 
nsIContent.h als auch für 
nsContentUtils.h haben. Von 
diesen 23 Dateien hatten 22 in 
der Vergangenheit Lücken. 
Weitere Kandidaten sind in der 
Tabelle „Top 10 der betroffe- 
nen ...“ zu sehen. 

Die Zahlen sind äußerst 
beeindruckend, zeigen sie 
doch, dass es Kombinationen 
von Include-Dateien gibt, die 
sehr stark mit Lücken zu- 
sammenhängen. Dabei ist es 
tatsächlich die Kombination 
der Include-Dateien, die mit 
Lücken korreliert: Das bloße 
Einfügen von nsReadable 
Utils.h beispielsweise reicht 
nicht für das wahrscheinliche 
Vorhandensein einer Lücke, 
es muss noch nsGUlEvent.h 
oder nsI/PrivateDomEvent.h 
dazukommen. Solche Zusam- 
menhänge konnten im Projekt 
auch für Funktionsaufrufe be- 
obachtet werden. 

Ein großer Vorteil dieser 
Korrelation ist, dass man sie 
nicht einfach manipulieren 
kann. In der Vergangenheit 
führte das Entdecken solcher 
Korrelationen dazu, dass man 
Programmierern Ziele vorgab, 
die sie erfüllen mussten. Wur- 
de beispielsweise beobachtet, 
dass größere Dateien in der 
Regel mehr Fehler haben als 
kleine, mussten sich die Pro- 
grammierer an eine festge- 
schriebene Obergrenze für 
Dateigrößen halten. Die Fol- 
ge waren aber nicht weniger 
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Anzahl Komponenten 


Q., 

& 

= | 

— „nlnS m 
1293456 78 910 1 1314 


Anzahl Schwachstellen 


Die Verteilung der Schwachstellen offenbart Unerwartetes: 
Die Anzahl der Dateien, die lediglich eine Sicherheitslücke 
enthalten, ist konkurrenzlos hoch (Abb. 2). 


Fehler, sondern mehr kleine 
Dateien mit genauso vielen 
Fehlern. Will man aber etwas 
mit dem Mozilla Document 
Object Model anfangen, wird 
man in den meisten Fällen 
nicht darum herumkommen, 
die Include-Datei nsDOMEF- 
ror.h anzufordern. Ähnliches 
gilt für Funktionsaufrufe. 
Wenn man nun aufgrund 
dieser Zusammenhänge die 
Verfahren des geschilderten 
maschinellen Lernens anwen- 
det, geschieht etwas Interes- 


santes: Das Verfahren klas- 
sifiziert einige Dateien als lü- 
ckenhaft, für die bislang noch 
keine Lücken bekannt sind. 
Bedeutet das, dass das Verfah- 
ren fehlerhaft ist? Nein, es be- 
sagt, dass diese Dateien laut 
dem angewandten Verfahren 
eigentlich eine Lücke haben 
müssten, die jedoch noch nicht 
bekannt ist. 

Die Autoren haben nun für 
Mozilla mit Stand vom Januar 
2007 für alle Dateien, für die 
noch keine Lücken bekannt 


Die Software ist grundsätzlich frei verfügbar. Sie besteht aus zwei Teilen: 
einem Teil, der die notwendigen Daten (Schwachstellen-Reports, Verknüp- 
fung mit Softwarekomponenten] erhebt, und einem, der die statistischen 


Berechnungen erstellt. 


Der erste Teil ist für jedes untersuchte Projekt anders und neu zu erstellen, 
deshalb wohl nicht für die Allgemeinheit interessant. Der zweite Teil 
besteht aus circa 500 Zeilen R-Skripten, die den im Artikel beschriebenen 
statistischen Ansatz auf sehr einfache Weise umsetzen. 


Die Software wird zwar nicht zum Download angeboten, ist aber für 
Interessenten erhältlich. Kontakt über die Universität Saarbrücken oder die 


Redaktion. 


sind (das sind etwa 10 000) 
eine solche Vorhersage erstel- 
len lassen und sie nach der 
Schwere der vorhergesagten 
Lückenhaftigkeit sortiert. Die 
Top 10 dieser Vorhersage 
zeigt die gleichnamige Tabel- 
le. Das Sternchen in der letz- 
ten Spalte der Tabelle verrät, 
ob die Vorhersage zutraf oder 
nicht. 


Qualitätssicherung 
durch Vorhersage 


In dem entsprechenden Zei- 
traum wurden in 55 bislang 
unbescholtenen Dateien Lü- 
cken behoben. Würde man 
Quellcode-Dateien zufällig 
auswählen, käme man auf 
eine Trefferquote von 55/ 
10 000 = 0,55 % und in den 
Top 10 befände sich wahr- 
scheinlich keine einzige lü- 
ckenhafte Datei. Das ange- 
wandte Verfahren hat eine 
Trefferquote von 50 %. Hätten 
sich die Mozilla-Entwickler 
besonders auf diese Dateien 
konzentriert, hätten sie in je- 
dem zweiten Fall eine oder 
mehrere Sicherheitslücken im 
Vorfeld stopfen können. 

Das Projekt zeigt daher 
drei Dinge: 
— Es gibt einen empirischen 
Zusammenhang zwischen In- 
clude-Dateien und Sicher- 
heitslücken. 
— Man kann dank dieses Zu- 
sammenhangs sehr gute Vor- 
hersagen treffen, in welchen 
Dateien noch unbekannte Lü- 
cken sind. 


— Quality-Assurance-Ressour- 
cen kann man gemäß solcher 
Vorhersagen effektiv und ef- 
fizient einsetzen. 

Derzeit überträgt einer der 
Autoren gemeinsam mit ei- 
nem Mitglied des Red-Hat- 
Security-Teams die Ergeb- 
nisse der Arbeit auf den 
Red-Hat-Code, mit ersten po- 
sitiven Ergebnissen. (ur) 
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XML-Anwendung 


odellgetriebene Soft- 
wareentwicklung ist 
großartig, weil bei 


einer Änderung des Modells 
ein Knopfdruck alle Schnitt- 
stellen neu generiert. Deshalb 
denken Architekten, dass man 
Änderungen des Modells im 
Griff hat, weswegen es häufig 
Änderungen gibt. Schlimmer 
noch: Mehrere Versionen der 
Schnittstellen können parallel 
existieren und müssen bedient 
werden. Ausbaden dürfen das 
die Entwickler. 

Was die Änderung eines 
über XML-Schemata (nach 
dem W3C-Standard www. 
w3.org/XML/Schema, meist 
schlicht als XSD bezeichnet) 
implementierten Datenmo- 
dells für den bedeutet, der die 
Daten lesen und schreiben 
soll, kommt auf die Daten- 
haltung an. Zwei Varianten 
stehen zur Auswahl: die dy- 
namische Datenhaltung in ei- 
nem Document Object Model 
(DOM) und die statische 
durch XML Binding. 

Daten in einem DOM-Ob- 
jekt zu halten, ist weniger be- 
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Umgang mit häufigen 
Änderungen in XSD-Schemata 


E-Skulapstab 


Axel Benz, Heike Schwarz, 


Manuel Aldana 


Wenn XSD-Schemata als Schnittstellen- 
beschreibungen häufigen Änderungen 
unterworfen sind, wächst der Pflegeaufwand 
in der Softwareentwicklung stark. Allerdings 
nicht zwingend, wie ein Projekt aus dem 
Umfeld der geplanten Gesundheitskarte zeigt. 


liebt, da die Performanz als kri- 
tisch gilt und vor allem die 
Typsicherheit nicht gewährleis- 
tet ist. So kann man beispiels- 
weise beliebige Tags anhän- 
gen, was Java-Programmierer 
nicht mögen. Deswegen dürf- 
ten Entwickler eher ein XML 
Binding (mit einer JAXB-Im- 
plementierung für Java oder 
dem XML Schema Definition 
Tool für .Net) verwenden. 


Bindings versus 
modellgetrieben 


Ein Projekt in diesem Umfeld, 
die Spezifikation der Telema- 
tikinfrastruktur der elektroni- 
schen Gesundheitskarte, hat 
die Gematik GmbH im Auf- 
trag des Bundesgesundheits- 
ministeriums umgesetzt. Die 
Datenstrukturen der medizi- 
nischen Objekte werden als 
XSD-Schemata modellgetrie- 
ben aus UML generiert. 
Hinter solch einer Daten- 
struktur verbirgt sich bei- 
spielsweise das elektronische 
Rezept. Wenn ein Arzt ein 
E-Rezept erstellt und ein Pa- 
tient es in der Apotheke ein- 
lösen können soll, sind fol- 
gende Schritte notwendig: 
— Der Arzt füllt das GUI seines 
Praxisinformationssystems mit 
den Inhalten des Rezeptes. 


- Aus den Inhalten erzeugt 
Software eine schemakonfor- 
me XML-Datei, die über die 
Telematik-Infrastuktur sicher 
zur Apotheke gelangt. 
-In der Apotheke validiert 
ein Programm die XML-Da- 
ten gegen das passende Sche- 
ma, liest sie aus und zeigt sie 
im Apothekeninformations- 
system an. 
— Im Apothekeninformations- 
system werden die Abrech- 
nungsdaten ausgefüllt und die 
XML-Daten mit ihnen sche- 
makonform ergänzt. 
— Schließlich leitet die Soft- 
ware die XML-Daten zum 
Abrechnungssystem der Ver- 
sicherungen weiter. 
Abbildung 1 zeigt den 
Vorgang übersichtlicher. Das 
Rezept-Schema hat eine Tiefe 
von 22 Knoten und sprechen- 
de Knotennamen. So ist, um 
die Einheit der Wirkstoffmen- 
ge (Milligramm oder Gramm) 
zu lesen, ein XML-Binding- 
Objekt beispielsweise folgen- 
dermaßen anzusprechen: 


getUC_eVerordnungXML(].get7 
EVerordnung|).getArzneimittel7 
Verordnung(].getFertigarzneimittel(].7 
getPackungsmengel).get7 
PackungsgroesseNachAbgeteilter,7 
Mengel().getEinheit|) 


Wenn sich das Modell ändert 
— wenn etwa die Ebene Pa- 


ckungsgroesseNachAbgeteil- 
terMenge entfällt —, erfordert 
das Modifikationen an jeder 
Stelle, an der ein Programm 
lesend oder schreibend auf 
die Daten zugreift. Man 
könnte dies durch einen ge- 
eigneten Wrapper erreichen, 
der einen einheitlichen Zu- 
griff anbietet. Beispielsweise 
könnte setEinheit() die Ein- 
heit setzen, gleichgültig an 
welcher Position das Element 
tatsächlich in der XSD auf- 
taucht. Den Wrapper muss 
man allerdings nach jeder 
Schemaänderung neu schrei- 
ben, was aufwendig, repetitiv, 
langweilig und daher fehler- 
anfällig ist. Eine weitere kri- 
tische Situation tritt ein, wenn 
es gilt, zwei Versionen der 
Schnittstelle gleichzeitig zu 
bedienen. 

Es ist zweimal fast (aber 
nur fast) identischer Code für 
das Binding zu generieren — 
der generierte Code explo- 
diert, was unter anderem zu 
Unübersichtlichkeit bei der 
Typadressierung führt: Viele 
ähnliche Typen stehen in den 
import-Anweisungen, lange 
Paketnamen sind im Source- 
Code verstreut. Beim Einle- 
sen von XML-Daten muss 
das Schema bekannt sein. Da 
die Schemaversion aber in den 
XML-Daten steht, beißt sich 
die Katze in den Schwanz. Es 
bleibt nur übrig, auszuprobie- 
ren, in welches Binding-Ob- 
jekt die Daten passen. 

Leider ist das kein guter 
Programmierstil, folglich muss 
man den Namensraum aus den 
XML-Daten lesen. In diesem 
Fall muss Software das XML 
aber zunächst analysieren (Par- 
sing) — vielleicht über ein 
DOM? Da wäre es wohl bes- 
ser, die Daten gleich in einem 
DOM zu halten. 


Das DOM 


reicht nicht aus 


Wer auf eine Überprüfung der 
Typsicherheit zur Entwick- 
lungszeit verzichtet, kann die 
Daten in ein DOM-Objekt 
einlesen und zur Laufzeit ge- 
gen das Schema validieren. 
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Arzt 


Praxis- 
informations- 
system Telematik- 
Infrastruktur 
XSD- 
Schema 


Apotheken- 
informations- 
system 


Abrech- 


nung 


XML Valr XML 


Daten dierung Daten 


XSD- 
Schema 


Vom Arzt in die Apotheke und weiter zur Krankenkasse: 
der Weg der XML-Daten (Abb, 1) 


Hierzu müssen die Daten als 
XML vorliegen, was aller- 
dings nicht immer der Fall ist. 
So muss beispielsweise bei 
der Erzeugung eines neuen 
elektronischen Rezepts Soft- 
ware die ganze Datenstruktur 
Element für Element aufbau- 
en. Soll sie in einen optiona- 
len Zweig der Datenstruktur 
schreiben, der noch nicht exis- 
tiert, muss sie zunächst diesen 
Zweig schemagerecht inklu- 
sive Namensraumpräfixen, 
Attributen et cetera konstru- 
ieren. Daher ist es sinnvoll, 
die Schnittstelle zum DOM 
zu erweitern. 

Die Artefakte der modell- 
getriebenen Softwareentwick- 
lung sind bei genauerem Hin- 
sehen nicht so unhandlich wie 
oben dargestellt. Folgende 
Randbedingungen können ge- 
nutzt werden: Die Namen der 
Blattelemente der Schnittstel- 
len sind meistens eindeutig 
und ändern sich selten. Ände- 
rungen beziehen sich in der 
Regel auf die innere Struktur 
der Schemas, oder es handelt 
sich um dessen einfache Er- 
weiterung. 

Diese Randbedingungen 
kann man nutzen, um Code zu 
entwickeln, der gegen Sche- 
maänderungen robust ist. Der 
Schlüssel hierzu ist XPath, 
das XML-Elemente anspricht. 
Wenn die Namen der Blatt- 
elemente eindeutig sind, reicht 
ein einfacher XPath-Ausdruck 
zur Identifikation des zu le- 
senden oder zu schreibenden 
Knotens. Dieser Ausdruck än- 
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dert sich nicht, wenn sich nur 
die innere Struktur des Sche- 
mas ändert. Bei uneindeuti- 
gen Blattelementen kann ein 
minimaler XPath-Ausdruck 
dazu dienen, nur die nötigen 
Knoten auf dem Weg von der 
Wurzel zum Blatt herauszu- 
suchen; er ist damit robust 
gegen Schemaänderungen. 


Vom Arzt 
zur Apotheke 


Bei der von der Gematik im- 
plementierten Lösung han- 
delt es sich um eine Kompo- 
nente, mit der sich über 
XPath Knoten einer XML- 
Datenstruktur identifizieren 
und lesen oder schreiben las- 
sen. Im Unterschied zum 
DOM generiert sie beim 
Schreiben automatisch feh- 
lende Teilbäume und alle At- 
tribute des XML. Mit den 
folgenden Funktionen lässt 
sich die oben beschriebene 
Übergabe von XML-Daten 
zwischen Arzt und Apotheke 
komfortabel realisieren. 

Der Konstruktor des Sche- 
ma-Handlers bekommt die 
XSD-Information als String, 
URL oder Document mitgelie- 
fert, damit er wissen kann, wie 
fehlende Teilbäume aufzu- 
bauen sind. Weiterhin muss 
eine Abbildung zwischen 
Namensraum und Schema- 
Ablage erfolgen. Dies ge- 
schieht über die Schnittstelle 
GematikNamespaceResolver. 
Die Implementierung dieser 
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XML-Anwendung 


GematikSchemaTools 


x*Package>> 


GematikSchemaTools.instanceGenerator 


*<Package>> 
FÜ GematikSchemaHandler 


E] Namespaceconfig FH SearchcluexpatnTransformer 


FE xMLinstanceGenerator 
B XMLinstanceGeneratorErrorHandler 


GematikSchemaTools.exceptions 


GematikSchemaTools.instanceCleäner <<Package>> 


<<Package>> 


FE Ambigousnodeexception 
FH NodenotfoundeException 


E SteanerComponent 
E Searchcluesyntaxexception 


FE SteanerDecorator 


=D IKXMLinstanceCleaner 


® RemoveDummyDataElementsDecorator 


E] RemoveunsetComplexElementsDecorator 


GematikSchemaTools.instanceCopier 


<<P ackage>> 


CopyAttributeFrlagsDecorator 


CopyDecorator 
C 


opyDummyStructureDecorator 


=-© IXMLinstanceCopier 


D 
BE CopyComponent 
D 
D 


Schnittstelle entscheidet, ob 
die Abbildung auf eine HTTP- 
Resource (online) oder ein 
lokales XSD-Repository im 
Dateisystem (offline) erfolgt: 


GematikSchemaHandler(String| 7 


Document| URL xsd,,7 
GematikNamespaceResolver 7 


namespaceResolver) 


Dieser Konstruktor erzeugt 
automatisch ein DOM-Ob- 
jekt, dessen Blattknoten zu- 
nächst mit Werten gefüllt 
sind, die als „uninitialisiert“ 
erkennbar sind. Das DOM- 
Objekt enthält alle optionalen 
Elemente und alle Zweige 
von Choices, sodass es in 
diesem Zustand noch nicht 
valide sein kann. Die uniniti- 
alisierten Blätter können nun 
mit Werten — beispielsweise 
den Inhalten des E-Rezeptes 
— gefüllt werden. Hierzu die- 
nen die Methoden 


setNodeValue(String newText, 
String... searchClues] 
setNodeValue(String newText, XPath 
xpath] 


SearchClues bezeichnet eine 
Reihe von Elementnamen, 
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die einen eindeutigen Pfad 
zum Knoten darstellen. In- 
tern erfolgt eine Transformie- 
rung zwischen SearchClue und 
XPath. So kann man selbst oh- 
ne XPath-Kenntnisse Knoten 
ansprechen. Dies ist hilfreich, 
da XPath-Ausdrücke bezogen 
auf Erstellung und Lesbarkeit 
nicht gerade einfach zu hand- 
haben sind. Falls der gesetz- 
te Wert auf einem Zweig eines 
Choice liegt, werden automa- 
tisch alle anderen Zweige ge- 
löscht. 

Nach der serNodeValue()- 
Operation sind noch die un- 
initialisierten optionalen Ele- 
mente und nicht gesetzten 
Attribute zu entfernen. Hier- 
zu dient die Methode clean- 
upXmlDocument() Da die un- 
initialisierten Elemente als 
solche erkennbar sind, stellt 
sich das Entfernen als ein- 
fach dar. Allerdings muss 
man darauf achten, dass gele- 
gentlich ganze Zweige optio- 
nal sein können und wegfal- 
len müssen. Nun sollte ein 
schemakonformes DOM-Ob- 
jekt vorliegen, was sich mit 
der Methode ValidationRe- 
sult validateXmlDocument() 


GematikSchemaTools.resolver 


| SematikFilesystemResalver 
E GematikNamespaceResolver 
=2 |GematikNamespaceResolver 


<<Packager» 


Klassen und Unterpackages, die 
beim Schema-Handler zum Einsatz 
kommen (Abb. 2) 


prüfen lässt. Eine Validie- 
rung, die nur frue oder false 
als Ergebnis hat, dürfte den 
Benutzer nicht erhellen - vor 
allem wenn das Ergebnis false 
ist. Deswegen enthält Vali- 
dationResult eine detaillierte 
Fehlernachricht über das Er- 
gebnis. Hierzu dienen die 
Methoden: 


String getValidationMessage|) 
boolean isValidationSuccessfull() 


Das DOM-Objekt lässt sich 
nun mit der Methode ger 
XML() in einen XML-String 
serialisieren und an die Apo- 
theke übertragen, die wiede- 
rum das E-Rezept in Form 
von XML-Daten erhält. Beim 
Aufbau des Schema-Handler- 
Objekts liest der Resolver 
den Namensraum aus den 
XML-Daten und wählt das 
passende Schema aus. Aus 
dem resultierenden Objekt 
kann man schon Werte ausle- 
sen. Hierzu steht als Gegen- 
stück zu setNodeValue die 
Methode String getNodeVa- 
lue(String...searchClues) zur 
Verfügung. Validierung und 
Hinzufügen von Abrechnungs- 
daten können dann genauso 


erfolgen wie beim initialen 
Einlesen von Daten beim Arzt. 

Die einzelnen Komponen- 
ten des Schema-Handlers sind 
in einem Package Gematik 
Schema Tools zusammenge- 
fasst. Dessen Klassen und 
Unterpackages spiegeln die 
Aufgaben wieder, die beim 
Schema-Handler zum Einsatz 
kommen: Der Instanzgenera- 
tor erzeugt aus den Schemata 
XML-Instanzen. Undefinier- 
te Elemente löscht der In- 
stanz-Cleaner aus einer XML- 
Instanz. Der Instanz-Copier 
führt XML-Teilbäume zu- 
sammen, und der Resolver 
bildet Namensräume auf die 
XSD-Ablage ab (siehe Abbil- 
dung ?). 

Bei den Referenzimple- 
mentierungen der meisten 
Komponenten der Gesund- 
heitstelematik, wie sie die 
Gematik erstellt, kommt der 
Schema Handler an verschie- 
denen Stellen zum Einsatz. 
Die bisherigen Erfahrungen 
sind gut. Die Befürchtung, 
dass die Verwendung des 
Schema-Handlers anstelle von 
XML-Bindings einen Perfor- 
mance-Engpass hervorrufen 
würde, hat sich bisher nicht 
bewahrheitet. (hb) 
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Hochverfügbarkeit 


ochverfügbarkeit ist in aller Mun- 
Bi de: Applikationen, Datenbanken 

und Infrastruktur müssen immer 
und jederzeit arbeiten, und sogar klei- 
nere Unternehmen stehen oft vor der 
Aufgabe, ihre Anwendungen ununter- 
brochen bereitzustellen. Oracle bietet 
dafür seinen Real Application Cluster 
(RAC) an. Das zugrunde liegende 
Cluster Framework lässt sich aber auch 
alleine verwenden — ohne separate 
RAC-Lizenz. Damit lassen sich belie- 
bige Anwendungen absichern. 

Im folgenden Praxisartikel soll es da- 
rum gehen, den Apache-Webserver auf 
einem Cluster aus zwei Knoten mithilfe 
von Clusterware zu betreiben. Sofern 
man einige Voraussetzungen beachtet, 
ist das Installieren der Software unkom- 
pliziert. Auf otn.oracle.com stehen Clus- 
terware 10.2 und 11 für alle wichtigen 
Betriebssysteme zum Download zur 
Verfügung, die Datenbanksoftware ist 
nicht erforderlich. Im Weiteren geht es 
um die Clusterware 11g für 64-Bit-Li- 
nux. Als Betriebssystem kommt Red 
Hat Enterprise Linux 5 mit Update 1 
zum Einsatz, jeder seiner Clone (Cent- 
OS/Oracle Enterprise Linux) sollte es 
genauso tun. Auf größere Unterschiede 
zwischen Clusterware 10.2.x und 11.1.x 
geht der Text gegebenenfalls ein. Für 
Clusterware 10.2.x auf Red Hat 5 sind 
Anpassungen an zwei Dateien durch- 
zuführen (./install/oraparam.ini und ./ 
stagelprereg/crs/refhost xml), damit das 
Installationsprogramm die Systemvor- 
aussetzungen prüfen kann. Details zu 
diesen Änderungen führen Metalink 
Note 421308.1 und 456634.1 auf. Alter- 
nativ lässt sich der Installer mit /run/n 
staller -ignoreSysPreregs starten, was 
die Prüfungen bezüglich Betriebssys- 
tem und notwendiger RPMs komplett 
unterdrückt. 

Clusterware bedient sich zweier von 
allen Knoten genutzten Dateien zur Ver- 
waltung: der Voting Disk und der Ora- 
cle Cluster Registry (OCR). Sie müssen 
bei der Standard-Edition zwingend auf 
Raw Devices liegen, die Enterprise-Edi- 
tion lässt auch das Cluster-Dateisystem 
OCFS2 oder NAS zu. Vorsicht aber bei 
NFS: es sind bei Weitem nicht alle 
NAS-Appliances zertifiziert, zudem 
müssen einige Optionen in der /etc/ 
fstab stehen, damit Clusterware mit 
NFS fehlerfrei arbeiten kann. Für Ge- 
räte von Netapp zum Beispiel sind fol- 
gende Mount-Optionen für OCR und 
Voting Disk zu setzen: 
nas_appliance:/nfs_volume /oracle/crs/shared \ 


nfs hard, nointr,proto=tcp,suid,vers=3,rw,bg,\ 
rsize=32768 wsize=327 68, actimeo=0,timeo=600 
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Oracle Clusterware ohne RAC einsetzen 


Im Takt 


Martin Bach 


Oracles Cluster-Infrastruktur eignet sich nicht nur zum 
unterbrechungsfreien Betrieb von Datenbanken. Auch andere 
Server lassen sich mit ihr so im Cluster einsetzen, dass sie rund 


um die Uhr zur Verfügung stehen. 


Neben OCR und Voting Disk sind zwei 
separate physische Netze notwendig. 
Das erste („öffentliche“) stellt die Ver- 
bindung zur Außenwelt her und erlaubt 
eingehende Verbindungen. Das zweite 
(„private“) ist für interne Zwecke von 
Clusterware reserviert. Da keine Cross- 
over-Kabel erlaubt sind, müssen schnel- 
le Switches her. 


Virtuelle Adresse 
migriert beim Ausfall 


Um langes Warten auf TCP-Timeouts 
zu vermeiden, erzeugt und verwaltet 
Clusterware dem öffentlichen Netz- 
Interface zugeordnete virtuelle IP- 
Adressen (Aliase). Im Fehlerfall kann 
die virtuelle IP (kurz VIP) von dem 
nicht mehr verfügbaren Server auf einen 
der übriggebliebenen migrieren. Alle 
Anfragen an sie beantwortet der Kernel 
dann mit einem NACK, und der Time- 
out ist vermieden. Die IP-Adressen die- 
ser virtuellen Interfaces müssen Teil des 
öffentlichen Netzes sein, dürfen logi- 


scherweise keinem anderen Host zuge- 
wiesen sein und werden während der In- 
stallation von Clusterware initialisiert. 
Zusätzlich zu diesen bereits seit 
10.1.x bekannten virtuellen IP-Adres- 
sen, die hauptsächlich für RAC-Daten- 
banken zum Einsatz kommen, gibt es 
seit 10.2 sogenannte Application VIPs. 
Sie sind im Gegensatz zur klassischen 
VIP immer nur auf einem Knoten aktiv 
und ähneln Veritas’ Floating IPs. Das 
Beispiel konfiguriert den Apache so, 
dass er unter einer solchen Application 
VIP im öffentlichen Netz erreichbar ist. 
Da keine weitergehende RAC-In- 
stallation folgt, kann man Clusterware 
unter einem beliebigen Account ein- 
richten, sofern er oinstall als primäre 
Gruppe hat. Der Einfachheit halber sei 
hier oracle für diesen Zweck gewählt. 
Alle Rechner des Clusters müssen 
Voting Disk und OCR anbinden, damit 
sie die Integrität des Clusters gewähr- 
leisten können. Liegen diese beiden auf 
Raw Devices, ist ab Red Hat 5 die Ver- 
wendung von udev notwendig, /etc/sys- 
config/rawdevices existiert nicht mehr. 
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Hochverfügbarkeit 


Listing 1: Einträge in /etc/hosts 
# 1) Öffentliches Netz 
# 1.1) Physische Adressen - eth0 


„168.17.100 node1.Localdomain node! 
8.17.200 node2.Localdomain node2 


# 1.2) Virtuelle Adressen, basierend auf eth0 
„17,101 


„17,201 
„17.130 


node1-vip.Localdonain 
node2-vip.Localdonain 
floating_vip.localdonain 


node1-vip 
node2-vip 
# 2) privates Netz - ethl 


nodet-priv.localdonain 
node2-priv.localdonain 


nodei-priv 
node2-priv 


ft 
# Clusterware-intern 
floating-vip # f 


lusterware-intern 


ür Apache 


Listing 2: 
Einträge in /efc/syscentl.conf 


kernel.shmall = 2097152 


Die notwendigen Anpassungen sind in 
/etc/udev/rules.d/60-raw.rules zu erle- 
digen; ein Beispiel könnte so aussehen: 


ACTION=="add", KERNEL=="sdb1", \ 
RUN+="/bin/raw /dev/raw/raw| %N" 

ACTION=="add", KERNEL=="sdb2", \ 
RUN+="/bin/raw /dev/raw/raw2 %N" 

KERNEL=="raw[0-9]*", OWNER="oracle", \ 
GROUP="oinstall", MODE="640" 


Diese Einträge machen dem Betriebssys- 
tem auf beiden Knoten /dev/sdbl als 
/dev/raw/rawl und /dev/sdb2 als /dev/ 
raw/raw2 bekannt. Außerdem ordnen sie 
alle Raw Devices dem Account oracle 
mit der Gruppe oinstall zu und setzen die 
Rechte auf rw-rw--. Zu diesem Thema 
gibt es bei Metalink weitergehende In- 
formationen, siehe Note 414897.1. Ob- 
wohl die Verwendung von udev mit Red 
Hat 4/SLES 9 nicht zwingend notwendig 
ist, sei es auch dort dringend angeraten. 


Drei Arten 
von IP-Adressen 


Sicherheitshalber sollten sich die Mit- 
glieder des Clusters gegenseitig in /etc/ 
hosts mit ihren öffentlichen, privaten und 
virtuellen IP-Adressen eintragen. Ein 
Beispiel dafür zeigt Listing 1. 

Für die Inbetriebnahme von Clus- 
terware ist es zudem notwendig, SSH- 
Schlüsselpaare (RSA und DSA) zu er- 
zeugen und ihre öffentlichen Teile 
jeweils auf der Gegenseite in -ora 
cle/.ssh/authorized_keys einzutragen. 

Sicherheitsbewusste Administrato- 
ren haben oftmals SELinux und ipra 
bles auf ihren Servern konfiguriert — an 
dieser Stelle sei für erforderliche An- 
passungen auf Metalink hingewiesen. 
Um das Beispiel nicht unnötig zu kom- 
plizieren, seien SELinux und die Fire- 
wall deaktiviert. 

Da Clusterware tief in das System 
eingreift, sind einige Parameter in 
/etc/sysctl.conf erforderlich (siehe Lis- 
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l. 
kernel.shnnax = 2147483648 
kernel.shnnni = 4096 
kernel.sem = 250 32000 100 128 
fs. file-max = 65536 
net.ipv4.ip_local_port_range = 1024 65000 
net.core.rmen_default = 262144 
net.core.rnem_max = 4194304 
net.core.unen_default = 262144 
net.core.umem_max = 262144 


ting 2). Sind alle diese Schritte erle- 
digt, sollte die Einrichtung anstandslos 
durchlaufen. Den nervigen Fehler in 
Version 10.2.0.1 („Could not find a 
suitable set of interfaces for VIPs“) 
hat 11g endlich behoben. Den Work- 
around für den Vorgänger — manuelles 
Starten des „vip configuration assis- 
tant“ vipca — beschreiben Metalink 
Note 338924.1 und viele Blogs. 

Sofern noch nicht geschehen, sollte 
ORA_CRS_HOME in /root/.bashrc und 
»oracle/.bashrc eingetragen und defi- 
niert werden, zudem sollte die PATH- 
Umgebungsvariable um $ORA_CRS_ 
HOMEIbin ergänzt werden. SORA_CRS 
_HOMEIbin/crs_stat -t sollte nach er- 
folgreicher Installation diese Ausgabe 
liefern: 


Name Type Target State Host 

ora.nodel.gsd application ONLINE ONLINE  nodel 
ora.nodel.ons application ONLINE ONLINE  nodel 
ora.nodel.vip application ONLINE ONLINE  nodel 
ora.node2.gsd application ONLINE ONLINE  node2 
ora.node2.ons application ONLINE ONLINE  node2 
ora.node2.vip application ONLINE ONLINE  node2 


Die aufgeführten Ressourcen werden 
standardmäßig während der Software- 
installation angelegt und initialisiert. 
GSD ist der Global Service Daemon, 
ONS der Oracle Notification Service. 
Die VIP-Ressource ist für die virtuel- 
len IP-Adressen zuständig. Es ist wich- 
tig, dass sich alle Ressourcen im Status 
„ONLINE“ befinden. 

Um Apache mit Clusterware abzu- 
sichern, braucht man eine „floating 
IP“, die im Fehlerfall vom ausgefal- 
lenen zum funktionsfähigen Knoten 
wandern kann, ohne dass der Client 
das bemerkt. In Oracles Terminologie 


heißt eine solche IP-Adresse „Applica- 
tion VIP“. Sie zu erstellen ist relativ 
einfach; auf dem ersten Knoten als root 
angemeldet, erledigt das dieser Aufruf 
von crs_profile: 

crs_profile -create floating_vip \ 


+ application -a $ORA_CRS_HOME/bin/usrvip \ 
-o oi=eth0,ov=192.168.17.130,0n=255.255.255.0 


crs_profile ist zuständig für die Defini- 
tion eines „Profils“, das die Interaktion 
zwischen dem Clusterware-Framework 
und der von ihm verwalteten Ressource 
regelt. Das Beispiel erzeugt die neue 
Ressource floating_vip vom Typ appli- 
cation. SORA_CRS_HOMEIbin/usrvip 
gehört zum Lieferumfang von Cluster- 
ware und kümmert sich um die interne 
Verwaltung des virtuellen Interface. 


IP-Adresse 
auf Wanderschaft 


Anwender rufen usrvip nicht auf, um das 
Interface zu steuern. Das erledigen viel- 
mehr die Programme crs_start, crs_stop 
und crs_relocate. Die per -o übergebe- 
nen Optionen legen das Interface (oi), 
die IP-Adresse des Apache (ov) und die 
zugehörige Netzmaske (on) fest. 
crs_profile erzeugt eine sogenannte 
CAP-Datei, die crs_register floating_ 
vip in die Cluster Registry einträgt. 
crs_setperm ist dafür zuständig, anderen 
Benutzern Kontrolle über diese Res- 
source zu geben. Im Beispiel soll sie der 
Benutzer oracle verwalten können: 


crs_setperm floating_vip -u user:oracle:r-x 


Ein erneuter Aufruf von crs_stat -t lie- 
fert nun: 


Name Type Target State Host 


floating_vip application OFFLINE OFFLINE 
ora.nodel.gsd application ONLUNE ONLINE nodel 


crs_stat -p <Ressource> informiert über 
die Profile einer Ressource, -Is über die 
Rechte. 

Der Benutzer oracle kann nun das 
virtuelle Interface starten: 


crs_start floating_vip 
crs_stat -t zeigt jetzt floating_vip als 


„ONLINE“ auf nodel, und ifconfig gibt 
eine weitere Adresse aus, eth0:2: 


eth0:2 Link encap:Ethernet ... 


inet addr:192.168.17.130 ... 


Für Apache ist dasselbe Vorgehen not- 
wendig: Erzeugen und Registrieren des 
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| Client 


öffentliches Netz 


Legende 


eth0 Heih0: eth0:2 } - eth0 ir 


ethl eth] 


Betriebssystem 


aktiver Knoten 


Profils, Rechte zuweisen und anschlie- 
ßendes Starten der Ressource. Der 
Unterschied zum Erzeugen von floa- 
fing_vip besteht darin, dass ein kleines 
Programm nötig ist, das die Ressource 
„Apache“ verwaltet. Das Clusterware- 
Framework schreibt vor, dass dieses 
Skript oder Programm drei Funktionen 
ausführen kann: start(), stop() und 
check(). 


Starten und 
Anhalten auf neue Art 


Ein Template für ein solches Skript fin- 
det sich unter $ORA_CRS_HOMEJcrs/ 
public/action_scr.scr. Für Apache ver- 
wendet das Beispiel apachectl zum 
Starten und Beenden, ein simples ps -ef 
grep httpd prüft, ob Apache-Prozesse 
aktiv sind (Exit-Code 1) oder nicht 
(Exit-Code 0). Dies steht im Kontrast 
zur Unix-Tradition, in der O0 Erfolg 
signalisiert. 

Am einfachsten ist es, als root das 
Template umzubenennen und an den 
relevanten Stellen anzupassen. Danach 
sollte man es als $ORA_CRS_HOMEI/ 
crs/script/apache.scr speichern. chmod 
750 setzt die notwendigen Rechte. Es 
empfiehlt sich außerdem ein Test, zum 
Beispiel mit /apache.scr start. Funktio- 
niert alles wie gewünscht, kopiert man 
es auf den zweiten Knoten in das gleiche 
Verzeichnis, am einfachsten mittels scp. 

Wie bei der Application VIP erfolgt 
die Registrierung des Scripts in Clus- 
terware in zwei Schritten: crs_profile 
erzeugt das Profil (die CAP-Datei), und 
crs_register trägt es in die Cluster Re- 
gistry ein. 


crs_profile -create apache -t application \ 
-d "Apache Server" -r floating_vip \ 
-a apache.scr -o ci=30,#=3,fi=12,ra=5 


-create erzeugt die Ressource vom Typ 
application, die von floating_ip abhängt 
(-r). Das zugehörige Script ist apa 
che.scr (-a) in $ORA_CRS_HOMEI/ 
crs. Die Kette von Optionen (-0) instru- 
iert Clusterware, alle 30 Sekunden 
(ci=30) den Apache-Status zu prüfen, 
aber erst nach dem dritten Fehler in 
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Oracle Clusterware Oracle Clusterware 
Betriebssystem 


passiver Knoten inaktive Komponenten 


eth0: erste physikalische 


Netzwerkkarte 
eth0:1 virtuelle IP-Adresse 
(Clusterware) 


eth0:2 floating_vip, 
ebenso virtuelles Interface 
ethl: zweite physische 
Netzwerkkarte 
gestrichelte Linien bedeuten 


Folge die Anwendung als nicht verfüg- 
bar zu erkennen (ft=3). Nach der er- 
folglosen Prüfung soll Clusterware ver- 
suchen, alle 12 Sekunden (fi=/2) den 
Status zu ermitteln. Scheitert es damit 
zum fünften Mal (ra=5), startet es 
Apache auf dem zweiten Knoten. 
Nach dem Erstellen des Profils regis- 
triert crs_register apache das Ganze in 
der Cluster Registry. Nun kann crs_start 
apache die Ressource starten. Eine 
Überprüfung mit crs_stat -t ergibt: 


Name Type Target State Host 


apache application ONLINE ONLINE nodel 
floating_vip application ONLINE ONLINE nodel 


Ein klassisches Startskript in /etc/init.d 
für Apache ist von nun an überflüssig, 
Clusterware startet den Server automa- 
tisch beim Neustart des Clusters. Even- 
tuell vorhandene Einträge zum Starten 
von Apache in /etc/init.d/rc*.d sollte 
man entfernen. Ebenso sollte man apa- 
chectl nicht mehr zum Starten oder An- 
halten des Webservers außerhalb von 
Clusterware verwenden, sondern zu 
crs_start apache et cetera greifen. Sonst 
vermag Clusterware nicht zu erkennen, 
dass der Dienst bereits läuft. 

Zum Anhalten des Apache dient nun 
crs_stop apache. Mit crs_relocate lässt 
sich eine Ressource manuell vom akti- 
ven auf den passiven Knoten migrie- 
ren, was aber normalerweise nicht not- 
wendig ist. 

Um den Fehlerfall zu testen, könnte 
man den aktiven Knoten mit shutdown 
-h now herunterfahren. Auf dem pas- 
siven Knoten lässt sich Clusterware 
daraufhin in Aktion bewundern, am 
einfachsten mit watch crs_stat -t. 
watch ruft crs_stat -t alle zwei Sekun- 
den auf. Zuerst zeigt es die Ressourcen 
von nodel als „OFFLINE“, dann 
wechseln floating_vip und der Apache 
auf node2. (ck) 
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Hochverfügbarkeit 


Virtualisierte Cold-Standby-Server für Linux 


Übernahmebereit 


Schlomo Schapiro 


Cold-Standby-Server sind eine anerkannte Methode zur 
Realisierung hochverfügbarer Umgebungen. Will man damit 
mehrere Produktivserver absichern, steht schnell viel 
ungenutzte Hardware im Rechenzentrum herum. Mit virtuellen 
Maschinen und einem SAN lässt sich dieser Overhead 


deutlich reduzieren. 


verfügbarkeit ist ein „Cold Stand- 
by“, ein Reserverechner, der nur bei 
Ausfall des Hauptservers zum Einsatz 
kommt. Leider trägt dieser Zweitserver 
nicht zur Produktivität eines Rechenzen- 
trums bei und ist im flächendeckenden 
Einsatz zu teuer. Dagegen lässt sich ei- 
ne virtuelle Maschine (VM) als kosten- 
günstige Alternative (im Idealfall sogar 
gratis) auch für weniger „wichtige“ Sys- 
teme nutzen und kann damit für alle 
Server im Rechenzentrum einen einfa- 
chen Hochverfügbarkeitsschutz bieten. 
Virtualisierung ist heute in den meis- 
ten Rechenzentren produktiv im Einsatz. 
Auf den Virtualisierungs-Hosts lassen 
sich somit ohne weitere Kosten zusätz- 
lich viele Cold Standby VMs betreiben, 


E ines der erprobten Mittel der Hoch- 
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da sie ja im Regelfall ausgeschaltet sind 
und keine Ressourcen verbrauchen. 

Die Idee, ein Betriebssystem auf 
unterschiedlichen Plattformen zu betrei- 
ben, ist übrigens nicht neu, unter Linux 
muss man praktischerweise nur einige 
Treiber austauschen (primär Netzwerk 
und Festplatte), um dies zu bewerkstel- 
ligen. Während man früher gerne auch 
mal Festplatten eines ausgefallenen Ser- 
vers in einen neuen umgebaut (oder 
umgesteckt) hat, kann das heute kom- 
fortabel durch den Einsatz einer zen- 
tralen Datenablage wie einem SAN 
(Storage Area Network) geschehen. 
Damit muss man zum Aktivieren des 
Cold-Standby-Servers nichts anfassen. 

Zunächst ist ein Server ohne lokale 
Festplatten am SAN zu betreiben, so- 


dass er sein Betriebssystem von dort 
aus startet. Danach muss man eine vir- 
tuelle Maschine so konfigurieren, dass 
sie dieselbe Logical Unit (LUN) aus 
dem SAN als primäre Festplatte nutzt. 
Das Betriebssystem auf dieser SAN- 
LUN lässt sich nun wahlweise auf der 
physikalischen Hardware oder auf der 
virtuellen Maschine starten und verrich- 
tet auf beiden dieselbe Arbeit mit exakt 
denselben Daten. 

Fällt nun die physische Hardware 
aus, kann der Systemverwalter mit we- 
nigen Mausklicks oder Kommandozei- 
lenbefehlen die virtuelle Maschine star- 
ten, und der Server steht wieder zur 
Verfügung. Dafür muss er keine Fest- 
platte umstecken, keine Daten kopie- 
ren oder Dienste umkonfigurieren, der 
„Cold Standby“ ist sofort nutzbar. 


Potenzielle Stolperfallen 
erkennen 


Im Prinzip sind fünf große Klippen zu 
umschiffen, damit dieses Konzept auch 
dem harten Alltag und den hohen An- 
forderungen eines Rechenzentrums ge- 
recht wird. Die erste besteht im Booten 
aus dem SAN mit mehrpfadiger Anbin- 
dung (Multipathing). Die nächste bildet 
der Start aus dem SAN in der VM ohne 
Multipathing (diese Funktion deckt die 
Virtualisierung ab). Das System muss 
mit den unterschiedlichen Treibern 
beim Betrieb auf echter Hardware oder 
in einer VM sowie gegebenenfalls mit 
leichten Unterschieden in der jeweiligen 
Konfiguration umgehen können. Letzt- 
lich muss man einen gleichzeitigen Sys- 
temstart auf Hardware und VM verhin- 
dern, da kein gewöhnliches Dateisystem 
mit einem unkoordinierten Zugriff von 
zwei Rechnern gleichzeitig zurecht- 
kommt und dies zu einem sofortigen 
Datenverlust führen würde. 

Als Multipathing-Treiber dienen für 
diesen Artikel die bei Novells Suse Li- 
nux Enterprise Server (SLES) 10 stan- 
dardmäßig integrierten Multipathing- 
Treiber des Device Mapper und nicht 
die im HBA-Treiber integrierte Multi- 
pathing-Funktion. Das erleichtert spä- 
ter bei der Linux-Konfiguration die 
Benennung und Zuordnung der einzel- 
nen LUNSs. 

Anschließend geht es um die Um- 
setzung mit SLES 10 und einem IBM 
SAN DS4300 sowie HBAs von Qlogic. 
Als Hardware fungieren zwei x3650- 
Rackserver von IBM, einer als „Hard- 
ware“ und der andere als Virtuali- 
sierungs-Host. Die Anpassungen für 
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andere Linux-Distributionen und andere 
SAN-Systeme respektive Hardware- 
typen sind trivial, für Windows und 
andere Betriebssysteme lässt sich das 
Prinzip, aber nicht die konkrete Um- 
setzung anwenden. 

Als Betriebssystem kommt SLES 10 
mit Service Pack 1 und allen aktuellen 
Updates (mindestens multipath-tools 
und mkinitrd) zum Einsatz. Die Virtuali- 
sierung realisiert VMwares ESX Server 
3.0.2, dessen Funktion „Raw Device 
Mapping“ die komfortable Einbindung 
einer SAN-LUN als virtuelle Festplatte 
erlaubt. Mit anderen Virtualisierungs- 
lösungen wie XEN lässt sich aber das- 
selbe Prinzip ebenso umsetzen. 


Installation 
teils auf Umwegen 


In dieser Umgebung ist das Installieren 
des Betriebssystems etwas komplizierter, 
da Novell das Einrichten von SLES in 
das SAN mit Multipathing nicht direkt 
unterstützt. Weil bei SAN-LUNs ohne 
Multipathing meist die Schatten-Devices 
stören (die SCSI-Devices, die nicht funk- 
tionieren), ist es einfacher, SLES zu- 
nächst in der VM einzuspielen und das 
aufgespielte System dann für den SAN- 
Boot anzupassen. In der VM findet sich 
die SAN-LUN als einfaches Device 
(/dev/sda) ohne Komplikationen. 

Bei der Installation sollte man für 
die Partitionierung und das Formatie- 
ren der Dateisysteme „Device-ID“ zum 
Mounten benutzen, damit in /etc/fstab 
gleich die passenden Einträge erschei- 
nen. Die Device-ID ist beim Betrieb in 
der VM und auf der Hardware iden- 
tisch, da SLES die ID vom SAN ein- 
setzt, die daher konstant bleibt. Unter 
ESX gilt das nur für RDM-LUNs (Raw 
Device Mapping). 

Der nächste Schritt besteht im Par- 
titionieren der Systemfestplatte — eine 
8 GByte große LUN reicht aus. Sie soll- 
te vier primäre Partitionen /boot 
(100 MByte), swap (2 GByte), /var 
(3 GByte) sowie / (3 GByte) enthalten — 
formatiert mit Ext3 respektive als Swap. 

Für dieses Beispiel ist die Software- 
auswahl unerheblich, der Autor emp- 
fiehlt als Basis jedoch immer die 
„Common Code Base“ und das Dese- 
lektieren von GNOME beziehungsweise 
KDE. Damit spielt die Installationsrouti- 
ne ein relativ schlankes (800 MByte), 
aber auch vollständiges Basissystem auf. 
Später lassen sich die tatsächlich benö- 
tigten Softwarepakete noch gezielt nach- 
installieren, für die Erstellung des Cold 
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Listing 1: /efc/ 
sysconfig/kernel 


INITRD_MODULES=" 


Listing 2: Einstellungen 
in /eic/multipath.conf 


devices { 
device { 
vendor "IBM" 
product "1814" 


path_checker "rdac" 
hardware_handler "2 rdac 0" 


failback "innediate" 
no_path_retry "queue" 
} 
} 
nultipaths { 
nultipath { 


alias systen 


Standby ist jedoch schon ber 
alles dabei. mptspi 

Nach der Installation in | Ya 
der VM erfolgt die Anpas- | fan 
sung des Systems für den Di 
alternierenden Betrieb in | ed 
der VM und auf der Hard- Ei 
ware. Die folgenden De- | ohei-hed 
tails sind sehr spezifisch N 
für Opensuse ab 10.1 und Auen 
SLES ab Version 10, bei e1000 
anderen Distributionen gibt | 4nmda" 
es hier zum Teil größere 
Abweichungen. 
Wechselbetrieb 
erfordert Anpassungen 
Schon in der Initial RAM-Disk (initrd) 
benötigt der Kernel die richtigen Trei- 
ber für das Einhängen des Wurzeldatei- 
systems. Auch die Initialisierung des 
Multipathing muss schon hier erfolgen, 
da ja das Wurzeldateisystem auch darü- 
ber abgesichert sein soll. 

Dazu trägt der Administrator die 
Treiber in /etc/sysconfig/kernel ein, Lis- 
ting 1 zeigt ein Beispiel. Entscheidend 
ist hier die Einbindung der QLogic-Trei- 
ber (gla2xxx) für die Hardware und der 
LSI-Logic-Treiber (mptspi) für die VM. 
dm-rdac heißt der Multipathing-Treiber 
für IBMs SAN, bei anderen SAN-Sys- 
temen sollte man gegebenenfalls den 
passenden Multipathing-Treiber benut- 
zen. Damit die USB-Tastatur der Hard- 
ware funktioniert, finden sich die USB- 
HID-Module ebenfalls dort. Der Eintrag 
der unterschiedlichen Netzwerktreiber 
(vmxnet für VM, bnx2 und e1000 für die 
Hardware) erzwingt eine eindeutige Rei- 
henfolge der Netz-Devices ethO, eth] et 
cetera auf beiden Plattformen. Bei 64- 


A-TRACT 


@ Hardwaresysteme lassen sich kosten- 
günstig und mit wenig Aufwand 
durch eine virtuelle Maschine im 
Cold-Standby absichern. 


© Die Besonderheiten der Konfigu- 
ration wie Multipathing und unter- 
schiedliche Treiber bekommt man 
beim Suse Enterprise Linux mit 
überschaubarem Aufwand in den 


Griff. 


© Zusammen mit moderner Rechen- 
zentrumstechnik wie SAN und 
redundanter Anbindung ermöglicht 
Virtualisierung einen hochverfüg- 
baren Betrieb für mehrere Systeme. 


& Co. KG. Veröffentlichung und Vervielfältigung nur] 


Bit-Systemen muss man hier nur den 
e1000 für die VM angeben, wenn in der 
Hardware auch e/000-Karten installiert 
sind. Dies lässt sich Suse-konform auch 
anders lösen, zum Beispiel durch ent- 
sprechende hwefg-static-[0,1,2]-Dateien 
in /etc/sysconfig/hardware. 

In /etc/sysconfig/network/config schal- 
tet der Eintrag FORCE_PERSISTENT _ 
NAMES=no die eindeutige Zuordnung 
der Netzwerkkarten zu den MAC-Adres- 
sen ab. Darüber hinaus sind noch etwai- 
ge Einträge in /etc/udev/rules.d/30-net 
_persistent_names.rules zu löschen. Da- 
mit dieselbe Netzkonfiguration in der 
VM und auf der Hardware identisch 
funktioniert, muss man noch die Kon- 
figurationsdateien in /etc/sysconfig/net 
work gemäß ihrer Interface-Namen 
ifcfg-ethO, ifcfg-eth] ... umbenennen. 


Viele Wege zu einem Ziel 


Als Nächstes erfolgt die Anpassung des 
QLogic-Treibers an das Multipathing 
des Device Mapper, sodass er SAN- 
Ausfälle schnell an die darüberliegen- 
den Schichten meldet. Dazu dienen in 
/etc/modprobe.conf.local die Modulop- 
tionen options qla2xxx qlport_down_ 
retry=1 ql2xloginretry_count=3. 

Als Letztes fehlt noch die Konfigura- 
tion des Multipathing in /etc/multipath. 
conf. Sie enthält zwei wichtige Ab- 
schnitte: Der erste (devices) definiert die 
Standardeinstellungen, beispielsweise 
welche Pathchecker-Methode oder wel- 
che Gruppierungs-Policy das System 
verwenden soll. Dieser muss immer 
dem verwendeten SAN entsprechen — 
Listing 2 zeigt die Daten für IBMs 
DS4300. multipaths hingegen definiert 
die einzelnen LUNs und vergibt auch 
Aliasnamen für die LUNs, die zur kla- 
ren Wiedererkennung wichtig sind. 
Die ID lässt sich via multipath -d -v 3 
herausfinden und entspricht der De- 
vice-ID in /dev/disk/by-id. 

Über den Aufruf multipath sollte 
sich das Multipathing jetzt einfach 


143 


mit Genehmigung des Heise Zeitschriften Verlags. 


path_grouping_policy "group_by_prio" 


prio_callout "mpath_prio_tpe /dev/än" 


uwid 360020b80002965280000033746256505 


Hochverfügbarkeit 


Listing 3: fstab mit Multipathing Devices 


Idev/disk/by-id/scsi-system-part4 I ext3 acl,user_xattr def 
Idev/disk/by-id/scsi-systen-part! /boot ext3 acl,user_xattr 12 
Idev/disk/by-id/scsi-system-part3 Ivar ext3 noatime,acl,user_xattr 12 
Idev/disk/by-id/scsi-system-part2 swap swap defaults 00 
proc Iproc proc defaults 00 
sysfts Isys sysfs noauto 00 
debugfs Isys/kernel/debug debugfs noauto 00 
devpts Idev/pts devpts node=0620,9id=5 00 
Ivar/tnp Itnp none bind 00 


Listing 4: GRUB-Konfiguration in /hoof/grub/menu.Ist 


# Modified by YaST2, Last modification on Mon Dec 10 15:58:59 UTC 2007 
default 0 
tineout 8 
###Don't change this comment - YaST2 identifier: Original name: Linux### 
title SUSE Linux Enterprise Server 10 SP1 
root (hd0, 
kernel /vmlinuz-2.6.16.54-0.2.3-snp root=z/dev/disk/by-id/scsi-systen-part4 vga=normal clock=pntnr showopts 
initrd /initrd-2.6.16.54-0.2.3-snp 
title Rescue in VM 
root (hd0, 
kernel /vm/vnlinuz.vn root=/dev/sda4 vga=normal clockzpntnr init=/bin/bash 
initrd /vm/initrd.vn 
###Don't change this comment - YaST2 identifier: Original nane: failsafe### 
title Failsafe -- SUSE Linux Enterprise Server 10 SP1 
root (hd0,0) 
kernel /vnlinuz-2.6.16.54-0.2.3-snp rootz/dev/disk/by-id/scsi-systen-part4 vga=normal showopts ide=nodna apn=off acpizoff noresu- 
me edd=off 3 
initrd /initrd-2.6.16.54-0.2.3-snp 


Listing 5: Erstellen der Initial RAM-Disk 


# mkinitrd -f npath 

Root device:  /dev/disk/by-id/scsi-systen-part4 (/dev/dn-13) (mounted on / as ext3) 

Module list:  piix mptspi qladxxx processor thermal fan jbd ext3 edd dm-mod dm-snapshot dn-nultipath dm-round-robin 
dn-enc dn-rdac dn-hp_sw dm-snapshot-origin dm-striped vmxnet bnx2 e1000 (xennet xenblk dn-mod dm-snapshot) 

Kernel image: /boot/vmlinuz-2.6.16.54-0.2.3-snp 

Initrd inage: /boot/initrd-2.6.16.54-0.2.3-snp 
Shared libs:  Lib64/ld-2.4.50 Lib64/libacl.so.1.1.0 Lib64/Libattr.so.1.1.0 Lib64/Libblkid.so.1.0 Lib64/Libe-2.4.s0 
Lib64/Libeon_err.s0.2.1 Lib64/Libdevnapper.s0.1.02 Lib64/Libdl-2.4.50 Lib64/Libext2fs.so.2.4 Lib64/Libhistory.so.5.1 Lib64/Libneur- 
ses.50.5.5 Lib64/Libpthread-2.4.so Lib64/Libreadline.so.5.1 Lib64/librt-2.4.50 Lib64/Libsysfs.so.1.0.3 Lib64/Libuuid.so.1.2 
Lib64/Libnss_files-2.4.50 Lib64/Libnss_files.so.2 Lib64/Libgee_s. 50.1 

Driver modules: ide-core ide-disk scsi_mod sd_mod piix scsi_transport_spi mptbase mptscsih mptspi scsi_transport_fc 

firmware_elass qladxxx processor thermal fan edd dm-mod dm-snapshot dm-nultipath dn-round-robin dm-emc dm-rdac dn-hp-sw 


ren Schritte manuell erfolgen. Jetzt kann 
man via mkinitrd -f mpath eine Initial 
RAM-Disk mit integrierten Multipa- 
thing-Treibern generieren lassen, Lis- 
ting 5 zeigt die Bildschirmausgaben. 

Falls sich mkinitrd über das fehlende 
Root-Device beschwert, kann man 
zum Erstellen auch mkinitrd -f mpath 
-d /dev/sda4 nehmen. Die tatsächliche 
Auswahl des Root Devices erfolgt so- 
wieso durch den Parameter root= in 
der Grub-Konfiguration. 

Für den ersten Test startet man das 
System nochmals in der VM. Das initi- 
iert jetzt schon in der Initial RAM-Disk 
das Multipathing und hängt das Wur- 
zeldateisystem direkt vom Multipathing 
Device ein. Eine Kontrolle mit multipath 
-I! sollte eine Ausgabe wie in Listing 6 
ergeben. Sie zeigt einen Pfad (in der VM 
gibt es immer nur einen Pfad), der na- 
türlich auch aktiv ist. In /dev/disk/by-id 
finden sich, wie in Listing 7 zu sehen, 
die zugehörigen symbolischen Links 
auf die Device Mapper Devices. 


Systemstart direkt 
von der Hardware 


Jetzt kann man sich an die Hardware 
wagen. Dazu muss man zunächst die 
VM sauber herunterfahren, da sonst die 
Hardware auf dasselbe Dateisystem zu- 


Libata ahci ata_piix vmxnet bnx2 e1000 
Filesysten modules: jbd ext3 

Ineluding: initramfs dm/npath fsck.ext3 
18136 blocks 


greifen würde. In der Firmware der 
HBAs muss man einstellen, dass sie aus 
dem SAN booten sollen, und dazu die 


System-LUN als Boot-Device eintragen. 


SLES-Installation er- 
stellte initrd aufzuhe- 
ben, weil sich in der 
VM das System damit 
immer booten lässt. Da 


Dabei müssen bei jedem HBA die pri- 
mären Pfade oben in der Liste stehen. 
Nach dem obligatorischen Neustart 
zeigt jetzt ein ohne weitere Konfigura- 
tionsanpassungen aus dem SAN boo- 


Listing 6: Ausgabe von multipath-Il 


systen (3600a0b8000296528000003374625b505) dm-8 IBM,1814 FAStT 
[size=1,8T][features=1 queue_if_no_pathl[huhandler=2 rdac 0] 

\_ round-robin 0 [prio=3]lactive] 

\_.0:0:0:0 sda 8:0 Lactivellready] 


der Suse-mkinitrd-Be- tendes System, dass die Konfiguration 


fehl alle Kernel und 
initrd-Images in /boot 
abarbeitet, kopiert man 
den aktuellen Kernel 
und die aktuelle initrd 
in das zu erstellende 


in der VM korrekt war. Die korrekte 
Multipathing-Konfiguration überprüft 
der Aufruf multipath -Il. Klappt das 
nicht, muss man die Fehlermeldungen 
genau studieren und wieder in der VM 
booten und alles richtig einstellen. Be- 


Listing 7: Aliasnamen in /dev/disk/by-id 


# dir /dev/disk/by-id/scsi-sys* 

Irwxrwxrwx 1 root root 10 Feb 1 15:31 /dev/disk/by-id/scsi-system -> ../../dm-8 
Irwxrwxrwx 1 root root 11 Feb 1 15:31 /dev/disk/by-id/scsi-system-parti -> ../../dn-19 
Irwxruxrwx 1 root root 11 Feb 1 15:31 /dev/disk/by-id/scsi-system-part2 -> ../../dn-11 
Irwxrwxrwx 1 root root 11 Feb 1 15:31 /dev/disk/by-id/scsi-system-part3 -> ../../dn-20 
Irwxruxrwx 1 root root 11 Feb 1 15:31 /dev/disk/by-id/scsi-system-part4 -> ../../dn-13 


Verzeichnis /boot/vm _sonderes Augenmerk gilt hier der Netz- 


aktivieren lassen. Leider funktioniert das 
nicht immer, da ja das laufende System 
das SCSI-Device schon benutzt. Daher 
besteht der abschließende Test stets aus 
einem Systemstart mit einer passenden 
initrd, die Multipathing unterstützt. 

Eine Anpassung der /etc/fstab stellt 
sicher, dass das System anstelle der 
Device-ID den Multipathing-Aliasna- 
men zum Einhängen der Dateisysteme 
verwendet (s. Listing 3). 

Zur Absicherung (falls das System 
nicht bootet), ist es sinnvoll, die bei der 
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(cd /boot; mkdir vm; cp vmlinuz initrd 
vm/) und erweitert die /boot/grub/me- 
nu.lst um einen Eintrag für Rettungs- 
initrd und -kernel. Hier kann man auch 
gleich bei den regulären Einträgen die 
Parameter root= auf das Multipathing 
Device ändern (siehe Listing 4). 

Beim Booten als „Rescue VM“ muss 
der Administrator dann /boot und /var 
manuell mounten, da /etc/fstab ja die 
Multipathing-Aliasnamen benutzt. Das 
Rettungssystem startet aber sowieso nur 
in eine einfache Shell, in der die weite- 


konfiguration, die auf der Hardware 
und in der VM identisch funktionieren 
sollte. Falls in der Hardware mehrere 
Netzwerkkarten installiert sind, kann es 
erforderlich sein, auch in der VM meh- 
rere zu installieren. Auch wenn davon 
nicht alle mit einem Netz verbunden 
sind, lassen sich dadurch unschöne Ver- 
schiebungen vermeiden. Nach jeder 
Anpassung an der Systemkonfiguration 
sollte man die Dual-Boot-Fähigkeit 
nochmals prüfen, um die Ausfallsicher- 
heit nicht zu gefährden. 


iX 4/2008 


© Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. 


Darüber hinaus sollten technische 
Mittel sicherstellen, dass Hardware und 
VM nicht zeitgleich arbeiten. Hier bietet 
sich beispielsweise ein Patch der Initial 
RAM-Disk an, der mit einem einfachen 
Ping-Test den gleichzeitigen Betrieb ver- 
hindert. Leider darf man dann kein mki- 
nitrd-Update mehr installieren, weshalb 
der Autor bei SLES 10 SP I den ma- 
nuellen Weg empfiehlt. Falls das Stand- 
by-System (in der Regel die VM) immer 
eingeschaltet ist, aber in der Initial 
RAM-Disk vor dem Einhängen des 
Wurzeldateisystems verbleiben würde, 
bis das Hauptsystem für eine Weile aus- 
gefallen ist, hätte man damit schon eine 
automatische Übernahme bei Komplett- 
ausfall der Hardware umgesetzt. 

Opensuse verfügt seit Version 10.3 
über eine verbesserte Initial RAM-Disk, 
bei der sich eigene Skripte leicht in den 
mkinitrd-Prozess integrieren lassen. Bei 
SLES 10 ist hierzu noch ein direkter 
Patch des /sbin/mkinitrd-Skripts nötig. 
Beim kommenden SLES 11 dürfte sich 
somit dann auch die Automatik und 
Überwachung herstellerkonform inte- 
grieren lassen. 


Fazit 


Mit dem vorgestellten Vorgehen zur Ab- 
sicherung physikalischer Server durch 
virtuelle Maschinen lassen sich Kosten 
senken und man kann die Virtualisierung 
auch für solche Systeme gewinnbringend 
nutzen, die sonst keine Virtualisierungs- 
kandidaten sind. Bei einem Ausfall der 
Hardware wird man immer eine gerin- 
gere Leistung oder eine fehlende Her- 
stellerzertifizierung hinnehmen können, 
wenn dafür die „Kundschaft“ wie ge- 
habt weiter arbeiten kann. 

Hier kommen die Möglichkeiten der 
modernen Rechenzentrumstechnik wie 
Multipathing, SAN-Boot und zentrale 
Datenablage sowie die Virtualisierung 
in einer einfachen, aber wirkungsvol- 
len Gesamtlösung zusammen. Mit ver- 
gleichbar geringen Kosten lässt sich kein 
anderes Hochverfügbarkeitsszenario auf- 
bauen, die hier erreichbaren Umschalt- 
zeiten von fünf Minuten (mit Automa- 
tik) bis einer Stunde (manuell, inklusive 
Wecken des Admins und VPN-Ein- 
wahl) dürften für die meisten Anwen- 
dungen mehr als hinnehmbar sein. (avr) 


SCHLOMO SCHAPIRO 
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Samba-Tutorial || 


Linux-Server als Domänenmitglied 


Rhythmuswechse 


Volker Lendecke 


In gemischten Umgebungen bereiten die unterschiedlichen 
Ansätze zur Benutzerverwaltung oft Schwierigkeiten. Samba 
lässt sich als Mitgliedsserver einer Windows-Domäne flexibel 
konfigurieren und hilft, manche Klippe zu umschiffen. 


der Einsatz von Samba als Stand- 

alone-Server im Mittelpunkt. We- 
sentlich daran ist, dass Samba die Be- 
nutzer und Passwörter selbst kennt 
und verwaltet. In den meisten Firmen 
existiert heute jedoch schon eine zen- 
trale Benutzerverwaltung, entweder 
noch in Form einer NT4-kompatiblen 
Domäne oder eines Active Directory. 
Samba ist selbstverständlich in der La- 
ge, die dort verwalteten Benutzer und 
Gruppen zu verwenden. Wie das funk- 
tioniert, beschreibt dieser zweite Teil. 

Wesentlich für die Authentifizierung 
von Benutzern ist der Parameter securi- 
ty, der fünf Einstellungen kennt: 
[share] ist veraltet und sollte nicht 
mehr zum Einsatz kommen. Mit dieser 
Einstellung lassen sich einzelne Benut- 
zer nicht unterscheiden, jede Freigabe 
bekommt ein Passwort. 


I m ersten Teil des Tutorials stand 
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[user] ist die Standardeinstellung, mit 
der Samba Benutzer und Passwörter 
selbst verwaltet. Dies gilt für Stand- 
alone-Server ebenso wie für Domänen- 
controller (DC), die im dritten Teil des 
Tutorials Thema sein werden. 
[server] ist ebenfalls veraltet und man 
sollte darauf verzichten. Wurde durch 
security=domain ersetzt. 
[domain] bewegt Samba dazu, mit NT- 
konformen Mitteln die Authentifizie- 
rung an einen DC zu delegieren. Aus 
Sicht des Samba-Clients ist dies gleich- 
wertig mit security=user, der Unter- 
schied liegt ausschließlich darin, wie 
Samba die Passwörter überprüft. 
[ads] ist in vielerlei Hinsicht äquivalent 
zu security=domain, nur dass Samba 
dem Client zusätzlich Kerberos als Au- 
thentifizierungsmethode anbietet. 
Damit Samba die Benutzerauthentifi- 
zierung einer Domäne verwenden kann, 


muss der Server als Erstes die Domäne 
betreten. Mit diesem Schritt erstellt der 
Administrator ein Maschinenkonto in 
der Domäne mit einem zufällig gewähl- 
ten Passwort für dieses Konto. Existiert 
schon ein Konto für die Maschine, so 
wird nur das Passwort auf einen neuen, 
zufälligen Wert gesetzt. 


Beitritt zu einer 
Windows-Domäne 


Das Maschinenkonto ist eine Vorausset- 
zung, um zwischen dem Mitgliedsserver 
und der Domäne eine Vertrauensstel- 
lung herzustellen. Diese ist nicht so sehr 
notwendig, damit der DC feststellen 
kann, dass der Samba-Server Berechti- 
gungen in der Domäne hat, sondern die 
umgekehrte Authentifizierung ist wich- 
tig: Der Samba-Server muss sich über- 
zeugen können, dass der DC - der letzt- 
lich die Passwortüberprüfung durchführt 
— wirklich vertrauenswürdig ist. Ohne 
diese Überprüfung stünden Windows- 
Domänen vor dem gleichen Problem 
wie NIS oder ein nicht sicher eingerich- 
tetes nss ldap/pam ldap: Jeder, der die 
IP-Adresse des Servers mit der Benut- 
zerdatenbank fälscht, kann sämtliche 
Mitgliedsrechner übernehmen. 

Zum Betreten einer Domäne muss 
man in der smb.conf bei workgroup den 
Domänennamen angegeben und den 
Parameter security = domain setzen: 


[global] 
workgroup = w2k3ad 
security = domain 


Jetzt kann der Administrator den Be- 
fehl net rpc join absetzen: 


server:/root # net rpc join -U Administrator 
Enter Administrator's password: 

Joined domain W2K3AD. 
server:/home/vlendec # 


Mit diesem Schritt erzeugt der net-Auf- 
ruf das Maschinenkonto in der Domäne. 
Er hat zudem das Passwort auf einen zu- 
fälligen Wert gesetzt. Der Name des 
Maschinenkontos ist der Wert des Para- 
meters netbios name, der standardmäßig 
mit dem Hostnamen der Maschine vor- 
belegt ist. Mit den obigen Einstellungen 
erzeugt der Aufruf also das Maschinen- 
konto unter dem Namen server. 

net rpc join speichert das Maschi- 
nenpasswort des Servers in der Datei 
secrets.tdb, die typischerweise in /etc/ 
samba/ liegt. Via tdbdump secrets.tdb 
kann man es sich ansehen. Geht die Da- 
tei secrets.tdb aus irgendwelchen Grün- 
den verloren, ist die Domänenmitglied- 
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schaft des Samba-Servers zerstört, ein 
erneutes net rpc join erstellt sie neu. 
Im Beispiel diente zum Betreten der 
Benutzer ‚„Administrator“. Es ist klar, 
dass spezielle Privilegien in der Domäne 
zum Betreten notwendig sind, der Vor- 
gang legt ja ein neues Benutzerkonto an. 
Windows kann dieses Recht an Nicht- 
Administratoren delegieren, Samba ge- 
nügt zum Betreten der Domäne ein ent- 
sprechend privilegierter Account. 
Wenn Samba der Domäne erfolg- 
reich beigetreten ist, muss man den 
smbd neu starten. Verbindet sich jetzt 
ein Benutzer, fragt der smbd bei einem 
DC nach, ob das Passwort richtig ist. 


Der nächste Fall: 
Active Directory 


Benutzt man den Modus security= 
domain, verbindet sich Samba mit NT4- 
kompatiblen Methoden mit den Do- 
mänencontrollern. Dies ist zur Au- 
thentifizierung das NTLM-Verfahren 
(NT LAN-Manager) in seinen unter- 
schiedlichen Ausprägungen bis hin zu 
NTLMV2, das Samba auch unterstützt, 
die Benutzerverwaltung erfolgt über 
sogenannte RPC-Methoden. Mit Win- 
dows 2000 hat Microsoft Active Di- 
rectory eingeführt, das zur Authentifi- 
zierung bevorzugt Kerberos einsetzt 
und zur Benutzerverwaltung ein 
LDAP-Verzeichnis anbietet. Die Fra- 
ge, ob man Samba besser im Modus 
security=domain oder security=ads 
betreiben soll, lässt sich nicht einfach 
beantworten. Als Entscheidungshilfe 
folgen ein paar Argumente für und ge- 
gen security=ads. 

Jedes Active Directory kann Samba- 
Server im Modus security=domain als 
Mitglied aufnehmen. Es ist ein häufig 
anzutreffendes Missverständnis, dass 
dies nur für Domänen im sogenannten 
„Mixed Mode“ gilt. Selbst Domänen 
im Windows-2003-Infrastruktur-Mo- 
dus sind in der Lage, NT-kompatible 
Mitglieder aufzunehmen. Das einzige, 
was nur Mixed-Mode-Domänen tun, ist 
die Aufnahme von NT4-Backup-Do- 
mänencontrollern (BDC). Da Samba 
aber ohnehin kein solcher BDC werden 
kann, ist dieser Aspekt irrelevant. 

Politische Gründe in der Firma kön- 
nen die Benutzung von Kerberos erfor- 
dern. Es gilt allgemein als deutlich si- 
cherer als NTLM, wobei NTLMVv2 
ebenfalls durchaus einen vernünftigen 
Sicherheitsstandard vorzuweisen hat. 

Ein Vorteil von Kerberos gegenüber 
der NT-Authentifizierung ist die redu- 
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zierte Anmeldelast auf den Domänen- 
controllern. Mit den NT-Methoden 
muss ein Mitgliedsserver bei jeder Be- 
nutzeranmeldung beim Domänencon- 
troller nachfragen, ein Kerberos-Ticket 
ist einerseits für eine gewisse Zeit gül- 
tig und steht für sich alleine. Legt ein 
Anwender ein gültiges Ticket vor, ge- 
nügt das dem Samba-Server, er muss 
nicht mehr beim DC nachfragen. 
Windows 2003 hat einen Bug beim 
Auflisten mit den NT-kompatiblen 
RPC-Methoden: Es zeigt nur die ersten 
100 Benutzer an. Listet man sie via 
LDAP auf, bekommt man alle. Das 
Auflisten von Benutzern ist eine Opera- 
tion, die man vermeiden sollte, denn bei 
großen Domänen kann dieser Vorgang 
extrem lange dauern. Unter Umständen 
ist der 100-User-Bug auch gar kein 
Fehler, sondern Absicht. Ist man jedoch 
auf das Auflisten der Benutzer angewie- 
sen, muss man security=ads wählen. 
Im Active Directory existiert das 
Konzept der sogenannten Standorte 
oder Sites. Jeder Domänencontroller 
und Mitgliedsrechner ist einem Stand- 
ort zugeordnet. Will sich ein Mitglieds- 
rechner mit einem Domänencontroller 
verbinden, dann sollte dies nur inner- 
halb eines Standortes geschehen. Die 
entsprechenden Mechanismen benutzt 
Samba nur im Modus security=ads. 
security=ads ist sehr kritisch bezüg- 
lich koordinierter Serverzeit und korrekt 
funktionierendem DNS. Wenn Samba 
einen Domänencontroller sucht, ge- 
schieht dies bei security=ads via DNS, 
die Authentifizierung geschieht per Ker- 
beros. Die Sicherheit von Kerberos be- 
ruht zum Teil darauf, dass sich alle 
Rechner im Netz über die Uhrzeit einig 
sind. Ist dies nicht der Fall, verweigert 
es den Zugang. Das heißt, wer securi- 
ty=ads einsetzen möchte, ist gut bera- 
ten, in /etc/resolv.conf einen Windows- 
DNS-Server als Nameserver und den 
gleichen Server in /etc/ntp.conf als Zeit- 
server einzutragen. Ebenso muss die 
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„security=..." die Passwortüberprü- 
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sich für die Authentifizierung 
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gesicherte AD-Benutzerverwaltung 
in Unix-Systeme ein. 
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Listing 1: /efe/krb5.conf (1) 


Elibdefaults] 
default_realm = W2K3AD.ORG 


[realns] 
WOK3AD.ORG = { 
kde = 192.168.234.18 
} 


Elogging] 
kdc = FILE:/var/log/krb5/krbökde. log 
adnin_server = FILE:/var/log/krb5/kadmind. Log 
default = SYSLOG:NOTICE:DAEMON 


Datei /etc/krb5.conf korrekt konfiguriert 
sein, damit die Authentifizierung auch 
klappt, Listing 1 zeigt ein Beispiel. 
Älteren Kerberos-Bibliotheken be- 
reiten die im AD verwendeten Krypto- 
Algorithmen häufig massive Schwie- 
rigkeiten. Entweder unterstützen sie das 
benötigte HMAC-MDS5 gar nicht, oder 
die Implementierungen sind mangels 
Benutzung fehlerhaft. Viele (leider nicht 
alle ...) als Samba-Bug gemeldete 
Crashs sind in Wahrheit durch Kerbe- 
ros verursachte Abstürze. Moderne Li- 
nux-Distributionen haben diese Stol- 
perfallen nicht mehr, aber insbesondere 
Hersteller proprietärer Unixe liefern ih- 
re Betriebssysteme teilweise noch mit 
zu alten Kerberos-Bibliotheken aus. 
Als Quintessenz kann man sagen, 
dass security=ads vielfach wünschens- 
wert, aber viel komplizierter als secu- 
rity=domain sein kann. Insbesondere in 
kleinen Domänen mit nur einem Stand- 
ort beziehungsweise LAN reicht secu- 
rity=domain häufig völlig aus. 


Beitritt zu 
einem Active Directory 


Für security=ads sieht die smb.conf 
leicht verändert aus: 


[global] 
workgroup = W2K3AD 
realm = W2K3AD.ORG 


security = ads 


Gegenüber security=domain kommt der 
Parameter realm hinzu, der dem voll 
qualifizierten Langnamen der Domäne in 
Großbuchstaben entsprechen muss. Ker- 
beros unter Unix unterscheidet Groß- 
und Kleinbuchstaben, sodass ein in 
Kleinbuchstaben geschriebener Parame- 
ter realm zu recht merkwürdigen Fehler- 
meldungen führen kann. /etc/krb5.conf 
könnte im Beispiel wie in Listing 2 
aussehen. Mit dem Aufruf ner ads join 
betritt ein Server die Domäne, Listing 3 
zeigt die Bildschirmausgabe. 

Sollte dieser Vorgang fehlschlagen, 
kann das aus verschiedenen Gründen 
geschehen. Der sicherste Weg zur Feh- 
lersuche ist ein sauberes DNS- und 
Zeit-Setup. Der FODN des Samba-Ser- 
vers muss sich korrekt innerhalb der 


147 


mit Genehmigung des Heise Zeitschriften Verlags. 


Samba-Tutorial || 


Listing 2: /efe/krb5.conf (2) 


Llibdefaults] 
default_realm = W2K3AD.ORG 


[realns] 
WOKSAD.ORG = { 
kde = 192.168.234.18 
admin_server = 192.168.234.18 
} 


Listing 3: Ausgabe von nef ads join 


server:/home/vlendec # net ads join -UAdninistrator 
Using short domain name -- W2K3AD 

Joined "SERVER" to realm "WAK3AD.ORG! 

server: /home/vlendec # 


Listing 4: Ausgaben von wbinfo 


delphin:- # wbinfo -t 
checking the trust secret via RPC calls succeeded 


delphin:- # ubinfo -a windows\\vläasdf 
plaintext password authentication succeeded 
challenge/response password authentication succeeded 


Windows-Domäne befinden, die krb5. 
conf korrekt konfiguriert sein und die 
Zeit stimmen. 


Winbind - ein zentraler 
DC-Verbindungsproxy 


Mit dem Betreten der Domäne ist der 
smbd in der Lage, Benutzer beim Do- 
mänencontroller zu authentifizieren. Je 
nach Security-Modus und der Auswahl 
des Clients geschieht dies durch Aus- 
wertung des Kerberos-Tickets oder 
durch Nachfragen beim DC. Insbeson- 
dere Letzteres ist aufwendig, da der 
smbd sich einen Domänencontroller su- 
chen und dann mit dem Maschinenkon- 
to anmelden muss, bevor er die Benut- 
zerauthentifizierung durchführen kann. 
Dies generiert mindestens 30 Netzpake- 
te, von denen nur zwei die eigentliche 
Authentifizierung realisieren. 

Windows arbeitet hier anders: Die 
Local Security Authority (LSA) baut 
beim Start des Domänenmitglieds ein- 
mal eine Verbindung zum DC auf und 
authentifiziert sich als Maschine. Be- 
nutzerauthentifizierungen laufen danach 
nur noch über diese Verbindung. Via 
smbd allein funktioniert dies nicht, da 
es für jeden Client einen eigenen Pro- 
zess gibt und sich Netzwerkverbindun- 
gen nicht einfach von mehreren Prozes- 
sen gleichzeitig nutzen lassen. 

Als Proxy für die Verbindung zum 
DC entwarfen die Samba-Entwickler 
den winbindd. Er übernimmt mehr und 
mehr die Rolle der LSA unter Windows, 
insbesondere hält er eine Verbindung 
zum DC offen und bietet seine Dienste 
für alle Prozesse im System hinter einem 
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Unix Domain Socket unter /tmp/win- 
bindd/pipe an. Der smbd versucht bei ei- 
ner Authentifizierung zunächst, sich mit 
dem Socket zu verbinden. Erst wenn 
dies fehlschlägt, initiiert er selbst eine di- 
rekte Verbindung mit einem DC. Den 
winbindd muss man einfach nur starten, 
um seine Dienste nutzen zu können. 

Als Testprogramm für winbindd gibt 
es das Programm wbinfo. Wenn der 
winbindd gestartet ist, kann man ihm 
mit wbinfo -p ein Ping schicken. Den 
Test, ob winbindd sich korrekt mit dem 
Domänencontroller verbinden konnte, 
erledigt wbinfo -t, eine Authentifizie- 
rungsanfrage kann man mit wbinfo -a 
auslösen. Die dazugehörigen Bild- 
schirmausgaben zeigt Listing 4. 


nsswitch: Namens- 
auflösung von Benutzern 


Dass ein Benutzer authentifiziert ist, 
reicht noch lange nicht aus, um auf das 
System zuzugreifen. Samba braucht 
grundsätzlich für jeden Client-Benutzer 
ein Unix-Gegenstück, damit es die Zu- 
griffskontrolle im Dateisystem dem 
Kernel überlassen kann. Das heißt, dass 
jeder Domänenbenutzer mit allen sei- 
nen Gruppenmitgliedschaften in Unix 
existieren muss. Auf einem Heimserver 
mag das noch realistisch sein, aber in 
größeren Domänen fällt die Möglich- 
keit, alle Benutzer unter Unix nachzu- 
pflegen, schlicht aus. 

Analog zu nss_ldap stellt Samba das 
Modul nss_winbind zur Verfügung, mit 
dem es Benutzer und Gruppen dyna- 
misch vom Domänencontroller beziehen 
kann. Zum Aktivieren dieses Moduls 
sind in /etc/nsswitch.conf die Einträge für 
passwd und group anzupassen: 


passwd: files winbind 
group: files winbind 


Mit diesen Einstellungen sucht das Be- 
triebssystem Benutzernamen erst in 
/etc/passwd. Findet sich ein Benutzer 
dort nicht, kontaktiert es den winbindd. 

Damit Letzterer in der Lage ist, aus 
einem Benutzernamen einen vollständi- 
gen passwd-Eintrag zu erzeugen, muss 
er zwei Schritte durchführen. Als Erstes 
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erfragt er bei Windows den dortigen Be- 
nutzernamen und generiert daraus einen 
sogenannten Security Identifier (SID). 
Im zweiten Schritt wird der SID zu ei- 
ner Unix-UID. Gleiches geschieht mit 
der primären Gruppe des Benutzers. 
Winbind vollzieht beide Schritte auto- 
matisch nacheinander, sie können aber 
unabhängig voneinander fehlschlagen. 
Die Auflösung eines Namens zu einem 
SID erfolgt per wbinfo -n: 

delphin:” # wbinfo -n windows\\administrator 


$-1-5-21-72162050-2052214257-1551924553-7 
500 User (1) 


ID Mapping - Umsetzung 
zwischen den Welten 


Einen Namen zu einem SID zu überset- 
zen ist einfach, denn das erledigt der 
DC für Samba. Viel schwieriger ist es, 
für diesen SID eine Unix-Identität zu 
finden. Der DC weiß normalerweise 
nichts von Unix-IDs, das heißt, Win- 
bind muss sich die Unix-IDs quasi 
selbst ausdenken. Die einfachste Kon- 
figuration hierfür besteht einfach nur 
aus den Einstellungen 


vid range = 1000000-2000000 
gid range = 1000000-2000000 


Mit diesen Parametern im Abschnitt 
[global] der smb.conf sichert der Sys- 
temverwalter winbindd zu, die genann- 
ten Bereiche nicht in der lokalen Be- 
nutzerdatenbank zu verwenden. Meldet 
sich ein unbekannter Benutzer an, allo- 
ziert winbindd eine neue UID aus dem 
gegebenen Bereich, und speichert die 
Zuordnung in der winbindd_idmap .tdb. 
Die Zuordnungen vergibt winbindd da- 
bei fortlaufend. 

Bezüglich des Backups hat die Da- 
tei winbindd_idmap.tdb den Status der 
/etc/passwd. Ein Verlust der Datei 
führt zum Verlust sämtlicher Rechte- 
zuordnungen im Dateisystem. Es ist 
nicht mehr festzustellen, wer Benutzer 
„1004711“ wirklich ist. Daher sollte 
man von der winbindd_idmap regelmä- 
Big Datensicherungen durchführen. Dies 
ist als direkte Kopie schwierig, da es 
sich um eine Binärdatenbank handelt, 
die Winbind im laufenden Betrieb offen 
hält. Ein Backup lässt sich auf zwei ver- 
schiedene Arten durchführen: Entweder 
liefert das Kommando tdbbackup eine 
tdb-Datei, die im Wiederherstellungsfall 
die existierende winbindd_idmap db er- 
setzen kann, oder der Aufruf net idmap 
dump führt zu einer Klartextdatei, die 
sich per net idmap restore wieder ein- 
spielen lässt. 
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Solange nur ein Server in Betrieb ist, 
funktioniert die fortlaufende Zuordnung 
in einer tdb-Datei gut. Mit mehr als ei- 
nem Server treten Schwierigkeiten auf, 
da sich Benutzer nicht gleichartig zuord- 
nen lassen. Beispielsweise bekommt der 
User Meier auf einem Server die UID 
1004711, auf einem anderen Server die 
uid 10000815 zugeordnet. Spätestens 
mit NFS-Mounts führt dies zu Chaos. 

Es existieren mehrere Möglichkei- 
ten, dieses zu umgehen. Neben der fort- 
laufenden Nummerierung kann Win- 
bind Unix-IDs flexibel zuweisen. Bis 
zur Samba-Version 3.0.25 war der ein- 
zig unterstützte Weg, die idmap über 
Rechnergrenzen hinweg zu koordinie- 
ren, ein LDAP-Server. Mit 


idmap backend = Idap:ldap://servername/ 
Idap suffix = de=samba,dc=org 
Idap admin dn = cn=sambaadmin,de=samba,dc=org 


kann Winbind die allozierten Unix- 
IDs in einer LDAP-Datenbank spei- 
chern. Wie bei der Konfiguration des 
Backends /dapsam passdb muss man 
auch hier mit smbpasswd -w das Pass- 
wort des LDAP-Admin dn angeben. 

Warum ist es überhaupt so kompli- 
ziert, sich Unix-IDs aus den Fingern zu 
saugen? Auch Windows weist jedem 
Benutzer und jeder Gruppe eine eindeu- 
tige ID zu, den SID. Der enthält einen 
Domänenanteil aus 96 Bit, und einen 
innerhalb der Domäne eindeutigen Re- 
lative Identifier (RID). Warum nimmt 
man nicht einfach diesen als Unix-ID? 
Solange man nur eine Domäne hat, 
klappt das reibungslos. Schwierig wird 
dies bei Vertrauensstellungen. Vertraut 
die Domäne, in der Samba Mitglied ist, 
einer anderen Domäne, ist der RID nicht 
mehr eindeutig. Die 500 bezeichnet 
grundsätzlich den Administrator, 513 ist 
immer den Domänenbenutzern zugeord- 
net, und ab 1000 aufwärts vergibt jede 
Domäne fortlaufend RIDs. 

Vor der Version 3.0.25 konnte man 
mit idmap backend = rid für die Ein- 


Listing 5: 
Neuer Parameter idmap im Einsatz 


idmap domains = WINDOWS TRUSTED 

idmap config WINDOWS:backend = rid 

idmap config WINDOWS:range = 100000 - 199999 
idmap config TRUSTED:backend = rid 

idnap config TRUSTED:range = 200000 - 299999 


Listing 6: 
Erweiterte Benutzerinfos via SFU 


idmap config WINDOWS:backend = ad 

idmap config WINDOWS:schema_mode = sfu 

idmap config WINDOWS:range = 100000 - 199999 
winbind nss info = sfu 
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Backends für ID-Mapping 


[tdb] ist die Default-Einstellung. Winbind 
erstellt die ID-Mappings selbstständig und 
speichert sie lokal in einer rdb-Datei. Dies 
ist sinnvoll, wenn man nur einen einzigen 
Mitgliedsserver benutzt oder die Unix-IDs 
nicht serverübergreifend synchron halten 
muss. 


[rid] verwendet den Relative Identifier, die 
letzte Komponente des Windows-SID, di- 
rekt als Unix-ID. Zum Realisieren von Ver- 
trauensstellungen lassen sich pro Domäne 
Offsets angeben. Das RID-Backend lässt 
sich gut benutzen, wenn nur eine kleine 
Anzahl von Domänen vorhanden ist. 


[ad] lässt sich verwenden, wenn im Active 
Directory die Erweiterungen für die Ser- 
vices For Unix (SFU) implementiert sind. 


Domänen-Umgebung die RIDs als 
Unix-IDs verwenden und so ebenfalls 
Chaos mit mehreren Servern vermei- 
den. Sobald jedoch die Hauptdomäne, 
in der Samba Mitglied ist, einer ande- 
ren Domäne vertraut, funktioniert das 
aus den oben angesprochenen Gründen 
nicht mehr. Daher haben die Entwick- 
ler mit der 3.0.25 das idmap-Subsystem 
(wieder einmal) umgeschrieben. 

Der wesentliche neu eingeführte Pa- 
rameter heißt idmap domains. Er gibt 
an, für welche Domänen Samba eine 
Sonderkonfiguration vornehmen soll. 
Wie das funktioniert, beschreibt am 
besten ein Beispiel (siehe Listing 5). Es 
konfiguriert für die beiden Domänen 
WINDOWS und TRUSTED jeweils ei- 
nen Bereich von 99 999 Unix-IDs, den 
diese verwenden können. Die Unix-ID 
berechnet sich dabei aus dem RID zu- 
züglich der unteren Grenze des ID-Be- 
reichs. TRUSTED\Administrator würde 
so beispielsweise die UID 200500 zu- 
gewiesen bekommen. Weitere idmap- 
Backends führt der Kasten „Backends 
für ID-Mapping“ kurz auf. Jedes dieser 
Backends hat individuelle Konfigura- 
tionsparameter, die man den Manpages 
(man idmap_[backendname]) entneh- 
men kann. 


Shell, Heimatverzeichnis 
et cetera 


Neben der User-ID muss Winbind die 
Login-Shell und das Heimatverzeichnis 
eines Benutzers festlegen. Beides kennt 
ein typischer Windows-Domänencon- 
troller nicht. Standardmäßig steuern die 
Parameter template homedir und tem- 
plate shell die beiden Werte. Dies ist der 


Im Rahmen dieser Extensions kann der 
Administrator explizit Unix-IDs vergeben. 
Diese liest der Winbind aus. 


[ldap] speichert die selbst gewählten ID- 
Mappings in einem LDAP-Verzeichnis 
und ermöglicht so die Koordination unter- 
schiedlicher ID-Mappings. 

[nss] nimmt gar kein Mapping anhand 
von SIDs vor, sondern setzt voraus, dass 
Domänencontroller und -mitglied die 
/etc/passwd mit anderen Mitteln, etwa per 
nss_ldap, synchronisieren. Fragt ein Sys- 
tem den Winbind dennoch nach einem 
Mapping, liefert er dies namensbasiert. 
Das heißt, er konvertiert einen SID zu- 
nächst in den zugehörigen Namen und 
schaut dann in /ete/passwd nach. 


einzige Weg, Benutzerinformationen 
auf NT4-Domänenmitgliedern zu ver- 
vollständigen. Kommt das idmap_ad 
backend für das UIlD-Mapping zum Ein- 
satz, kann Winbind das Heimatverzeich- 
nis aus eventuell vorhandenen SFU- 
Informationen (Services for Unix) 
beziehen. Dazu muss man den Parame- 
ter winbind nss info auf einen der Werte 
rfc2307, sfu oder sfu20 setzen, je nach 
verwendeter SFU-Version. 

In der Beispielkonfiguration in Lis- 
ting 6 setzen die Einstellungen voraus, 
dass auf dem Domänencontroller die 
Services for Unix installiert und die 
Unix-Attribute der Benutzer gepflegt 
sind. Die /etc/passwad-Einstellungen für 
die Benutzer übernimmt der Samba- 
Server damit komplett aus dem AD. 

Mit der Anbindung an die Firmen- 
Infrastruktur durch Winbind ist ein 
Samba-Fileserver im Administrations- 
aufwand nicht mehr von einem Win- 
dows-Fileserver zu unterscheiden. Die 
komplette Benutzerverwaltung von 
Passwörtern angefangen über Gruppen- 
zuordnungen bis hin zu Unix-Attributen 
kann das Active Directory übernehmen. 
In diesem Tutorial nicht dargestellt sind 
die Offline-Fähigkeiten des Winbind. 
Damit lassen sich nicht nur Fileserver, 
sondern auch Arbeitsplatzrechner und 
Laptops analog zu Windows-Clients in 
ein AD einbinden. Der mit nach Hause 
genommene Laptop funktioniert genau 
so, wie es der Anwender von seinem 
Windows-Client erwartet. (avr) 
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Tools und Tipps 


Bloomfilter: Schnelle, ungenaue Suche 


Planten un 


Bloomen 


Michael Riepe 


Einen guten Teil ihrer Zeit verbringen 
Computer mit dem Suchen in Listen, Bäumen oder Feldern. 
Mitunter lässt sich der Aufwand jedoch erheblich reduzieren. 


er sucht, der findet — sagt man. 
Leider trifft die Aussage in der 
IT-Welt eher selten zu. Vor al- 


lem, weil eine erfolglose Suche oft län- 
ger dauert als eine erfolgreiche. Um et- 
wa festzustellen, ob sich ein bestimmter 
Schlüssel in einer unsortierten Liste be- 
findet, muss ein Programm die gesamte 
Liste durchlaufen. Eine positive Antwort 
hingegen erhält es im Schnitt nach der 
Hälfte der Schritte. 

In Bäumen oder sortierten Feldern 
lassen sich Daten schneller finden: 
Die Suchzeit wächst in der Regel lo- 
garithmisch mit der Zahl der gespei- 
cherten Datensätze (O(log n)). Noch 
schneller sind Hashtabellen: Solange 
keine Kollisionen auftreten, bleibt die 
Suchzeit konstant. Andernfalls wächst 
sie je nach Implementierung linear 
oder logarithmisch. 

Erheblichen Einfluss hat das ver- 
wendete Speichermedium. Auf der 
Festplatte etwa dauert eine Suche um 
Größenordnungen länger als im Haupt- 
speicher. Ein Index im RAM kann Ab- 
hilfe schaffen oder die Auswirkungen 
zumindest lindern — sofern der Platz 
dafür ausreicht. 


Ja, nein und vielleicht 


1970 entwickelte Burton H. Bloom für 
ein Rechtschreibprüfprogramm eine be- 
sonders kompakte Darstellung: den 
Bloomfilter. Statt eine Wortliste in sei- 
ne Software einzubinden, berechnete er 
mehrere Hashwerte aller Wörter und no- 
tierte sie in einem Bitfeld (siehe Lis- 
ting 1). Will man im Bloomfilter einen 
bestimmten Schlüssel finden, muss man 
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dessen Hashwerte berechnen und die da- 
zugehörigen Bits untersuchen. Hat eins 
den Wert O, ist der Datensatz garantiert 
nicht vorhanden. Sind alle gesetzt, be- 
steht eine gewisse Wahrscheinlichkeit, 
dass er gespeichert ist. 

Darin besteht einer der Nachteile des 
Bloomfilters: Er gibt nicht immer eine 
exakte Antwort, sondern beschränkt 
sich auf „nein“ und „vielleicht“. Die 
Wahrscheinlichkeit P, dass das Viel- 
leicht sich als Nein entpuppt (False Po- 
sitive), hängt vom Füllgrad — dem Pro- 
zentsatz gesetzter Bits — und der Zahl 
der verwendeten Hashfunktionen ab: 
P= Füllgrad?*" der Hashes 
Ist zum Beispiel das Bitfeld zu 10 % ge- 
füllt und kommen drei Hashfunktionen 
zum Einsatz, erweist sich von 1000 posi- 
tiven Antworten durchschnittlich eine als 
falsch. Bei einem zur Hälfte gefüllten 
Bitfeld bedeutet jedoch bereits jedes ach- 
te Vielleicht tatsächlich Nein. Es emp- 
fiehlt sich daher, den Füllgrad niedrig zu 
halten. Formeln für die Berechnung sind 
unter anderem im englischen Wikipedia- 
Eintrag zu finden (siehe Kasten „Online- 
quellen‘). Wer mit Mathematik auf dem 
Kriegsfuß steht, kann sich die Parameter 
auch online ausrechnen lassen. 

Ein weiterer Nachteil des klassischen 
Bloomfilters ist, dass sich Einträge nicht 
entfernen lassen. Nach dem Löschen 
von Datensätzen muss das Programm 
den Inhalt des Bitfelds neu berechnen. 
Alternativ kann es mitzählen, wie oft es 
ein bestimmtes Bit gesetzt hat. Fällt 
beim Entfernen der Zähler auf Null, 
muss es das Bit wieder löschen. Aller- 
dings beanspruchen die Zähler erheblich 
mehr Speicherplatz als das Bitfeld. 


Kommen Einfüge- und Löschoperatio- 
nen relativ selten vor, kann man die 
Zähler jedoch auf den Massenspeicher 
auslagern, ohne dass die Performance 
stark darunter leidet — beim Suchen be- 
nötigt man sie nicht. 


Bloomfilter im Einsatz 


In begrenztem Umfang unterstützen 
Bloomfilter auch die übrigen für Men- 
gen (Sets) definierten Operationen. Ver- 
einigungs- und Schnittmenge erhält 
man durch bitweise Oder- beziehungs- 
weise Und-Verknüpfung der Bitfelder. 
Die müssen dazu natürlich gleich groß 
sein; außerdem müssen die Filter diesel- 
ben Hashfunktionen verwenden. Die 
Subtraktion zweier Mengen lässt sich 
leider nicht mit einfachen Bit-Operatio- 
nen realisieren. In manchen Fällen hilft 
ein zweiter Bloomfilter, der die entfern- 
ten Elemente aufnimmt. Allerdings 
kann es vorkommen, dass beide Filter 
behaupten, ein bestimmtes Element zu 
enthalten. Welcher die Wahrheit sagt, 
lässt sich nur durch eine Analyse der 
Daten feststellen. (mr) 


Listing 1: Bloomfilter in € 


#define ANZAHL_BYTES  65536u 
#define ANZAHL_BITS (ANZAHL_BYTES / Bu) 
unsigned char bitfeldLANZAHL_BYTES]; 
void set_bit(unsigned x) { 
bitfeldex / 81 | 1uscx 48; 


int test_bit(unsigned x) { 
return bitfeldix / 818 (tux kB); 


void wort_hinzufuegen(const char *wort) { 
unsigned h; 
h = hash_1(wort) % ANZAHL_BITS; set_bit(h); 
h = hash_2(wort) % ANZAHL_BITS; set_bit(h); 
he hash_k(wort) % ANZAHL_BITS; set_bit(h); 


int wort_vorhanden(const char twort) { 


unsigned h; 
h = hash_1(wort) % ANZAHL_BITS; if (Itest_bit(h)) return (0; 
h = hash_2(wort) % ANZAHL_BITS; if (Itest_bit(h)) return 0; 


he hash_k(wort) % ANZAHL_BITS; if (!test_bit(h)) return 0; 
return 1; 


Ein Bloomfilter lässt sich mit wenigen 
Zeilen Code realisieren, Allerdings 
fehlen noch die Hashfunktionen. 


Wikipedia (deutsch) 
de.wikipedia.org/wiki/Bloomfilter 

Wikipedia (englisch) 
en.wikipedia.org/wiki/Bloom_filter 


Dimensionierungsrechner 
www.cc.gatech.edu/fac/Pete.Manolios/ 


bloom#filters/calculator.html 
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Internet-Infos 


Allergien gegen alles und jeden „, 


Gesundheit H 


Diane Sieger 


Lang, lang ist's her, dass der Heu- 


schnupfen die einzige allgemein bekannte 

Allergie war. Mittlerweile weiß man von allergieauslösenden 
Stoffe in allen Facetten - und jeder kennt sicherlich mindestens 
einen Allergiker, wenn er nicht sogar selbst betroffen ist. 


land leidet an einer Allergie. Der 

Kontakt mit einem bestimmten 
Stoff oder die Aufnahme eines Nah- 
rungsmittels haben gelegentlich unan- 
genehme Folgen. Juckender Hautaus- 
schlag, tränende Augen, Durchfall oder 
sogar akuter Schockzustand können Zei- 
chen einer allergischen Reaktion sein. 
Wenn so viele Menschen davon betrof- 
fen sind, lohnt es sich, dem Thema ein 
wenig auf den Grund zu gehen. Was ist 
eine Allergie überhaupt? Wie entsteht 
sie und wie kann man unerwünschte Be- 
gleiterscheinungen bekämpfen? 

Einen prima Einstieg bietet wie bei 
vielen Themen Wikipedia. Der Eintrag 
unter de.wikipedia.org/wiki/Allergie 
verrät, dass der Wiener Kinderarzt Frei- 
herr Clemens von Pirquet den Begriff 
Allergie im Jahre 1906 geprägt hat. Per 
Definition handelt es sich um eine „‚ver- 
änderte Fähigkeit des Körpers, auf eine 
fremde Substanz zu reagieren“. Auch 
über mögliche Symptome klärt Wiki- 
pedia auf: Es gibt Reaktionen der 
Schleimhäute, der Atemwege, der Haut, 
des Verdauungstrakts und sogar akute 
Notfälle, die sich in einem anaphylakti- 
schen Schock äußern. 

Etwa 20 Prozent aller Deutschen lei- 
den unter Heuschnupfen, einer allergi- 
sche Reaktion auf Pollen. Die meisten 
reagieren nur auf einige wenige blühen- 
de Bäume, Sträucher, Gräser, Kräuter 
oder Getreidearten. Manche Allergiker 
leiden jedoch unter Pollenarten mit 
unterschiedlichen Blütezeiten und somit 
fast ganzjährig. Nachzulesen im Stern 
Ratgeber Allergie (www ..stern.de/aller 
gie/erkrankungen/585217.html), der ei- 
ne schöne Fotogalerie mit Heuschnup- 
fenauslösern mitliefert. 


J eder dritte Erwachsene in Deutsch- 
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Um schon am Morgen abschätzen 
zu können, mit wie viel Schniefen und 
Augentränen der Tag verbunden sein 
wird, lohnt sich für Allergiker ein Blick 
in die Pollenflugvorhersage des Deut- 
schen Wetterdienstes. Unter www.dwd. 
de/de/wir/Geschaeftsfelder/Medizin/Pol 
lenvs/abfrage.htm lässt sich der Allergie- 
auslöser auswählen, und eine Deutsch- 
landkarte gibt einen Überblick über die 
Pollenflugintensität des Tages. Eben- 
falls über diese Webseite kann man den 
Pollenflug-Newsletter des Wetterdiens- 
tes bestellen — somit flattert die Vorher- 
sage des Tages pünktlich am Morgen 
ins E-Mail-Postfach. 


Desensibilisierung 
per Tablette 


Wer im wahrsten Sinne des Wortes die 
Nase voll hat vom Heuschnupfen, kann 
sich einer langwierigen Desensibilisie- 
rung unterziehen. In einem bis zu meh- 
reren Jahren dauernden Prozess wird der 
Körper mithilfe von Spritzen oder Trop- 
fen an den Allergieauslöser gewöhnt. 
Seit einiger Zeit gibt es alternativ eine 
Tablette, die ähnlich wirkt wie die seit 
langer Zeit bekannten Mittel, die ein Be- 
troffener jedoch eigenständig zu Hause 
einnehmen kann. Mehr darüber weiß 
das WDR Fernsehen in seiner Aktuellen 
Stunde zu berichten: www.wdr.de/tv/ 
aks/checkup/20070224_heuschnupfen. 
jhtml. Von dort aus geht es auch zu wei- 
teren Webseiten rund um das Thema 
Heuschnupfen. 

Ebenfalls in Deutschland weit ver- 
breitet ist die Tierhaarallergie, ein leicht 
irreführender Begriff. Denn bei Katze, 
Kaninchen und Co. ist oftmals nicht das 


Fell an sich allergieauslösend, schuld 
sind stattdessen oder zusätzlich Bestand- 
teile von Kot, Urin oder Hautschuppen. 
Es kommt häufig vor, dass Allergiker 
sich nicht mit dem reaktionsauslösenden 
Tier in einem Raum befinden können, 
ohne von Symptomen geplagt zu wer- 
den. Manchmal genügt es schon, auf of- 
fener Straße mit einem Katzenhalter ins 
Gespräch zu kommen, um heftige Reak- 
tionen zu spüren. Besonders gemein ist, 
dass einige Tierallergene über große 
Distanzen schweben können - selbst in 
der Antarktis haben Forscher schon Kat- 
zenhaarallergene gefunden. Nachzu- 
lesen bei Gesundheit.de (www.gesund 
heit.de/krankheiten/allergie/tierhaaraller 
gie/index.html) sowie im Onlineangebot 
des Stern (www .stern.de/allergie/erkrank 
ungen/:Tierhaarallergie-Was-Haustiere- 
Plagegeistern/585228.htm]). 

Schätzungsweise eine Million Deut- 
sche leiden an einer Hausstauballergie. 
Oder besser gesagt, an einer Hausstaub- 
milbenallergie. Allergieauslöser sind 
nicht die Miniwesen selbst, sondern de- 
ren Kot, den sie in der Wohnung reich- 
lich verteilen. Mit Freuden leben die 
Milben - die so klein sind, dass Hunder- 
te von ihnen auf einen Stecknadelkopf 
passen — wo es warm und ein wenig 
feucht ist und wo sie sich von mensch- 
lichen Hautschuppen ernähren können. 
Richtig, die perfekten Lebensbedingun- 
gen findet sie in den Betten. Für die 
meisten Menschen ist dies kein Problem, 
doch sobald eine Allergie vorherrscht, 
kann der Aufenthalt in der eigenen Woh- 
nung zur Qual werden. Wie gut, dass es 
unter www .enius.de/allergien/hausstaub 
allergie.html viele Tipps zur Linderung 
gibt. Von der Bauanleitung für Do-it- 
Yourself-Allergikerbettwäsche bis hin 
zum Hinweis, dass man bei glatten Bö- 
den statt zum Staubsauger lieber zum 
Wischlappen greifen sollte — hier gibt es 
einige Ideen zum Ausprobieren. Wer 
keinen Ekel kennt, sollte zusätzlich einen 
Abstecher nach 82.198.66.21/Galerie. 
htm machen — die enorm vergrößerten 
Fotografien von Hausstaubmilben sind 
einen Blick wert. 

Während umfangreiche Forschungen 
stattfinden, um weit verbreitete Aller- 
gien zu lindern, und man bereits etliche 
Medikamente zur Eindämmung der 
Symptome entwickelt hat, gibt es einige 
wenige Menschen, die unter wenig ver- 
breiteten oder gar fast vollständig un- 
erforschten Allergien leiden. Eine be- 
sonders seltene ist die Spermaallergie 
(de.wikipedia.org/wiki/Spermaallergie), 
die hauptsächlich zwanzig- bis dreißig- 
jährige Frauen betrifft. Hierbei handelt 
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es sich um eine allergische Reaktion auf 
ein Protein im Ejakulat des Mannes, die 
sich durch Brennen, Juckreiz, Schwel- 
lungen oder Hausausschläge äußert. Das 
kann so weit gehen, dass bei einem Kin- 
derwunsch kein Weg an der künstlichen 
Befruchtung vorbeiführt. 

Wenig bekannt ist auch, dass für ei- 
nige Menschen das Telefonieren mit 
dem Handy Hautausschläge hervorru- 
fen kann, ausgelöst durch das in vie- 
len Mobiltelefonen enthaltene Nickel 
(www .focus.de/gesundheit/ratgeber/all 
ergie/news/nickel_aid_233441.html). 


Vorbeugen 
beginnt im Mutterleib 


Neuere Untersuchungen zeigen, dass 
werdende Mütter mit der richtigen Er- 
nährung während der Schwangerschaft 
das Allergierisiko für ihr Kind senken 
können. Fisch beispielsweise wirkt sich 
mit seinen Omega-3-Fettsäuren positiv 
aus (www .vitanet.de/fitness-gesund 
heit/tipp-der-woche/ernaehrungj/allergie- 


Vor 10 Jahren: 


Als die Schwerkraft siegte 


Nicht zum ersten Mal war Apple mit dem Newton der Zeit voraus. 
Durchsetzen konnte sich der Messagepad damals jedoch nicht. 


Apple ist heute als Produzent von Gerä- 
ten wie dem iPhone und den iPods be- 
kannt, die schick aussehen und einfach 
zu bedienen sind. Zwei, drei Dinge kön- 
nen diese Geräte in der Regel wesentlich 
besser als vergleichbare Produkte der 
Konkurrenz. Hinzu kommt ein ordentli- 
ches Stück Marketing, das damit be- 
ginnt, dass Apple-Chef Steve Jobs neue 
Geräte in einer Kulthandlung vorführt. 
Vor 10 Jahren kam Jobs zu Apple (zu- 
rück) und stoppte die Produktion der 
Apple Messagepads. Über das Aus für 
diese als Apple Newton bekannt ge- 
wordenen Rechner, die ihrer Zeit weit 
voraus waren, berichtete iX in der Aus- 
gabe 4/98. Damals wurde über die Pro- 
duktionseinstellung viel gerätselt, heute 
kann man in den einschlägigen Jobs- 
Biografien die Gründe nachlesen: Der 
erste einigermaßen brauchbare Personal 
Digital Assistent (PDA) war das Lieb- 
lingsprojekt von John Sculley — und 
Jobs entfernte alles, was bei Apple an 
Sculley erinnerte. 

Als Sculley 1987 (!) mit „Odyssey“ 
das Grundkonzept des später Newton ge- 
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fisch). Doch Fisch ist nicht gleich 
Fisch — Sushi und Räucherlachs sind 
während der Schwangerschaft tabu. 
Vielleicht doch lieber durch Rapsöl 
ersetzen? Weitere Tipps, wie sich 
Allergien beim Kind eindämmen las- 
sen, gibt es unter www.bio-fuers-baby. 
de/allergien.php. 

Wer den Glauben an die Schulmedi- 
zin bereits verloren hat, kann sich viel- 
leicht mit der Naet-Therapie (www. 


nannten PDA beschrieb und seine In- 
genieure daraufhin die Entwicklung ei- 
nes Informations-Assistenten starteten, 
dachten sie überhaupt nicht an einen Po- 
cket-Computer als Helferlein im digita- 
lisierten Alltag. Die Vision war viel grö- 
Ber: Ein Knowledge Navigator sollte 
dem Menschen zur Hand gehen und 
dabei helfen, eine Informationsschicht 
als zweite Haut zu tragen. Schon der 
Projektname war alles andere als be- 
scheiden: „Defying Gravity“ - der 
Schwerkraft trotzen, die Schwerkraft gar 
überwinden sollte das Informationssys- 
tem, worauf noch Newton OS, der Na- 
me des Betriebssytems hindeutete (New- 
ton sitzt im allerersten Apple-Logo unter 
einem Baum, von dem ein Apfel fällt). 
Sprach- und Handschriftenerkennung, 
Multimedia, komplett mit integriertem 
sprechenden Haus-Assistenten und ei- 
nem Wissensreservoir, aus dem ver- 
schiedene Programme von der Termin- 
planung bis zum CAD schöpfen können: 
All das sollte den Knowledge Navigator 
auszeichnen. Für viel Geld drehte man 
einen Schulungsfilm über ihn, der heute 


allergien-behandeln.de/naet-therapie. 
html) anfreunden, die mit einem ganz- 
heitlichen Ansatz versucht, den Köper 
wieder ins Reine zu bringen. Oftmals 
reicht es jedoch schon aus, sich mit Lei- 
densgenossen auszutauschen, dann ist 
man im Allergie-Forum (www.gesund 
heit.de/forum/allergie) genau richtig. 
Hier lassen sich Tipps und Tricks fin- 
den, die den Umgang mit der eigenen 
Allergie erleichtern. (ka) A 


zu den wichtigsten Zukunftsentwür- 
fen der Branche gezählt wird im 
Verein mit dem Memex von 
Vannevar Bush (1945), 
der „Mother of all De- 
monstrations“ von Douglas 
Engelbart (1968) und der „You 
will“-Kampagne von AT&T (1993). 
Was Bush auf Papier erklärte, was 
Engelbart seinem Publikum vor Ort er- 
klären musste und was Sculleys Ingeni- 
eure noch per Video aufzeichneten, ist 
heute längst ins Internet gewandert. Vie- 
le Dinge, die der unzeitige Newton erst- 
mals bot, benutzen die Besitzer aktuel- 
ler Smartphones ganz selbstverständlich, 
von der Handschriftenerkennung über 
die Sprachsteuerung bis hin zum durch- 
gehenden Datenkonzept für Terminka- 
lender und Adressbuch. Wer heute die 
Konzepte der Zukunft sehen will, be- 
sucht Youtube oder einen anderen Video- 
dienst und holt sich dort das „Morph“- 
Video von Nokia ab. Im Abspann des 
Trickfilms über die Wissensnavigation 
der Zukunft findet sich eine kleine 
Hommage - an den Newton natürlich. 
Die Schwerkraft konnte er nicht über- 
winden, aber im Gedächtnis der Infor- 
mationsgesellschaft hat er seinen Ehren- 
platz. Irgendwo in einer Wüste Nevadas 
soll es eine Newton-Müllhalde geben. 
Fans, die ihren PDA bis heute nutzen, 

suchen sie wie den heiligen Gral. 
Detlef Borchers ZR 
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Buchmarkt 


| ie galt die Verwendung 
von Javascript auf Webservern 
fast als böse. Nicht allzu lange 
nach dem Anbruch des Ajax-Zeit- 
alters (18. Februar 2005, mit Jesse 
James Garretts Aufsatz „Ajax: A New Ap- 
proach to Web Applications“) hat sich die 
Situation geändert: Webentwickler müssen 
fit in dieser Sprache sein, denn ohne die 
Skriptsprache geht in Ajax-Anwendungen 
nichts. Autoren von Javascript-Büchern hat 
Asynchronous Javascript and XML Arbeit 
für neue Kapitel verschafft, denn seit 2006 
darf kein JS-Buch mehr erscheinen, das 
nicht mindestens ein Kapitel zu diesem 
Umfeld enthält. Einige 
speziell Ajax ge- 
widmete Bücher 
sind auf dieser 
Seite im April 
2007 hoffentlich 
zu ihrem Recht ge- 
kommen, das eine 
oder andere haben 
iX-Autoren bespro- 
chen. Hier soll es 
um Javascript-Lite- 
ratur gehen, die sich 
hauptsächlich der Spra- 
che annimmt und Ajax 
nur unter anderem be- 
handeln. 

Schon Ende 2006 hat 
O’Reilly die zweite Auf- 
lage des von Nick Heinle, Bill Pena und 
Ulrich Speidel verantworteten „Webde- 
sign mit JavaScript & Ajax“ in der Ba- 
sics-Reihe veröffentlicht. Es handelt sich 
im Grunde um eine um zwei Kapitel er- 
weiterte Javascript-Einführung, die ohne 
Ajax schon 2002 erschienen war. Wer’s 
knapp und/oder für unterwegs haben 
möchte, dem reichen unter Umständen 
die neuen 250 Seiten. 

Ebenfalls schon 2006 erschienen ist die 
zweite Auflage des praktischen Javascript- 
Führers aus der No Starch Press, 
verfasst von Wired-Autor Thau. 
Der Band enthält, bei 470 Seiten 
Umfang nicht anders zu erwar- 
ten, deutlich mehr an Ajax-Ma- 
terial. Thau geht anders vor als 
das Gros der Autoren, indem er 
sich von vornherein mit dem 
auseinandersetzt, was Webent- 
wickler „drückt“. Zwar be- 
schreibt er anfangs, wie man 
Variablen und eingebaute Funk- 
tionen benutzt, aber vor allem 
will er dabei zeigen, wie Web- 
seiten automatisch zu aktualisie- 
ren sind. Weitere Kapitel gehen 
ebenfalls problemorientiert vor: 
Rollovers, Öffnen und Schlie- 
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MEHR KBYTES 


Javascript 


ßen von Fenstern, wie man Frames und 
Image Maps einsetzt - und eben Ajax, von 
den Grundlagen bis zum Debugging. 
Wohl das kürzeste Javascript-Buch ist 
das von Markus Nix herausgegebene „Ex- 
loring JavaScript“, erschienen bei der Ent- 
wickler-Press. Auf circa 160 Seiten lässt 
sich zwar keine umfassende Einführung 
unterbringen, aber Nix und seine Koauto- 
ren haben einen Überblick zu- 
sammengestellt, der erste Einbli- 
cke in Objektorientierung, Ajax 
und JSON (Javascript Object No- 
tation) erlaubt. Wiederum gilt: 
keine stringente Einfüh- 
rung in die Sprache. 
Wer das zuletzt Er- 
wähnte will, benötigt 
schwergewichtige 
Bände, die selten 
unter 500 Seiten 
zu haben sind 
und vereinzelt 
die Tausender- 
grenze über- 
schreiten. In 
diese Grup- 
pe gehört Christian Wenz’ 
„JavaScript und Ajax“, das 
zwar seit der siebten Auf- 
lage nur um gute zehn Sei- 
ten gewachsen ist, insge- 
samt aber über 800 auf die Waage 
bringt. Hintergrund: Schon in der Vorauf- 
lage hat der Autor die Struktur erweitert, 
um Ajax integrieren zu können. Kapitel 
wie die zur Programmierung, Kommunika- 
tion oder Sicherheit dürften sich im Ver- 
gleich zu Auflage 7 deshalb kaum geändert 
haben; hinzugekommen sind Abschnitte zu 
Microsofts Ajax-Paket und Silverlight. 


Wie die beiden folgenden Bände 
eine seit Jahren erfolgreiche Ein- 
führung samt Referenz. Schman- 
kerl: eine einstündige DVD mit 
Lernvideos. 
David Flanagans in der Betaversion 
erstmals 1996 verlegte Javascript-Refe- 
renz, der Tausendseiter unter den hier 
vorgestellten, eignet sich schon deshalb 
definitiv nicht für mobile Programmierer 
(was für Wenz ebenfalls gilt). Im Origi- 
nal 2006 veröffentlicht (5. Auflage), liegt 
das Werk seit 2007 in deutscher Sprache 
vor. Ajax kommt in mehreren Kapiteln 
vor, steht aber nicht im Zentrum des Ban- 
des, der vielmehr eine systematische Ein- 
führung in die Sprache bietet. Das aller- 
dings ausführlich, bis hin zu Prototypen 
und Namensräumen. 

Stefan Koch kommt in seiner bei 

dpunkt erschienenen Ein- 
führung mit we- 
niger als 500 
Seiten aus. Sein 
Buch hat sich 
ebenfalls schon 
eine Weile am 
Markt gehalten, die 
vierte Auflage ist 
komplett überarbei- 
tet und enthält ein ei- 
genes Ajax-Kapitel. 
Abgesehen davon bie- 
tet Koch den allmäh- 
lichen Einstieg, indem 
er von Variablen über 
Verzweigungen und 
Schleifen zu komplizier- 
teren Sprachaspekten wie 
Funktionen, Objekten und Arrays voran- 
schreitet. 

Wenz’, Flanagans sowie Kochs Werk 
enthalten jeweils eine Sprachreferenz. Ei- 
ne Entscheidung zwischen den drei Bän- 
den fällt schwer und dürfte, abgesehen 
von der Tragebereitschaft, vom Bedürf- 
nis nach Struktur abhängen. 

Head-First-Bücher (auf 
Deutsch „... von Kopf bis 
Fuß“) unterscheiden sich deut- 
lich von den anderen. Das gilt 
auch für Michael Morrisons ge- 
rade erschienenen Javascript- 
Band, der wie die ganze Reihe 
eine Mischung aus gesetztem 
Text, handschriftlichen Zusät- 
zen, Sprechblasen und Comic- 
Bildchen ist. Wie Koch hat 
Morrison ein eigenes Kapitel zu 
Ajax an den Schluss des Bandes 
gestellt. In diesem Fall dürfte 
die Entscheidung für oder gegen 
dies Buch nicht nur inhaltlich 
begründet sein. Henning Behme 


iX 4/2008 


g des Heise Zeitschriften Verlags. 


© Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. 


Rezensionen 


N icht nur bei Unix-Ken- 
nern hat die Automatisie- 
rung wiederkehrender Tätig- 
keiten durch Scripts eine 
lange Tradition. Neben den 
vielen alten Bekannten (Perl, 
Tel) buhlen zunehmend junge 
Sprachen mit ambitionierten 
Funktionen um die Gunst des 
Programmierers. In „Scripting 
in Java“ beleuchtet Dejan 
Bosanac dieses vielschichtige 
Thema aus der Sicht des Java- 
Entwicklers. 


Dejan Bosanac 
Scripting in Java 


Languages, 
Frameworks and Patterns 


Upper Saddle River, NJ 2007 
Addison-Wesley 

528 Seiten 

44,99 US-$ 

ISBN 978-0-321-32193-0 


Die ersten beiden allge- 
mein gehaltenen Kapitel 
definieren den Begriff der 
„Skriptsprache“ und stellen 
vorstellbare Einsatzgebiete 
vor. In seiner Abgrenzung zu 
klassischen Programmier- 
sprachen greift der Autor den 
vom Tel-Erfinder John Ous- 
terhout geprägten Begriff der 
„system programming lang- 
uage“ und damit indirekt 
auch die nach Ousterhout be- 
nannte Dichotomie zwischen 


den Systemprogrammier- 
und den Skriptsprachen auf, 
die nicht zu Unrecht oft 
hinterfragt und kritisiert wur- 
de. Das dritte Kapitel stellt 
einige Skriptsprachen vor, 
die in Javas virtueller Ma- 
schine ausgeführt werden. 
Der Leser lernt ihre wichti- 
gen Funktionen kennen und 
erhält Tipps zu Installation 
und Zugriff. 

Kapitel 5 und 6 widmet 
der Autor ausführlich Groo- 
vy. Hier begnügt er sich nicht 
mit der obligatorischen Auf- 
zählung von Eigenschaften, 
sondern bietet eine recht ge- 
lungene Einführung in die 
Sprache. Dabei behandelt er 
auch anspruchsvolle Themen 
wie Datenbankzugriffe. Wel- 
che Vorteile und Erleich- 
terungen der Einsatz von 
Skriptsprachen in der täg- 
lichen Arbeit bieten kann, 
zeigt der Autor in den beiden 
Kapiteln „Practical Scripting 
in Java“ und „Scripting Pat- 


terns“. Eines seiner Codebei- 
spiele demonstriert den Ein- 
satz von Groovy bei der Er- 
stellung von Unit Tests. 

Für den Zugriff auf Skript- 
sprachen setzt Bosanac oft, 
aber nicht durchgängig, das 
ursprünglich von IBM entwi- 
ckelte, später an die Apache 
Software Foundation (ASF) 
übergebene „Bean Scripting 
Framework“ ein. Dessen 
Thronerbe, die im Java Spe- 
cification Request 223 spezi- 
fizierte Scripting-API, die in 
Java Einzug in den Standard 
gefunden hat, findet ebenfalls 
eine gebührende Würdigung, 
wenngleich man sich eine 
gleichmäßigere Einbezie- 
hung in die Beispiele des Bu- 
ches wünschen würde. Trotz- 
dem ist „Scripting in Java“ 
äußerst lesenswert. Die Lek- 
türe macht Appetit, die Vor- 
schläge des Autors in eige- 
nen Projekten in die Tat 
umzusetzen. 

THOMAS KÜNNETH 


Theory and Practice 


Ser wird die schon im No- 
vember 1997 standardisier- 
te Unified Modeling Language 
(UML) in IT-Projekten wirk- 
lich als Sprache zur Verständi- 
gung über Anforderungen und 
als Stütze der gesamten Pro- 
jektkommunikation genutzt. 
Offenbar ist es schwierig, die 
mannigfaltigen Optionen von 
13 Diagrammtypen und den 
möglichen Beziehungen zwi- 
schen Artefakten theoretisch 
zu kennen. Erst recht, diese 
praktisch anzuwenden und 
sich damit und darüber in 
UML zu verständigen. 
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Doug Rosenberg, 
Matt Stephens 


Use Case Driven 
Object Modeling 
with UML 


Theory and Practice 


Berkeley, CA 2007 
APress 

472 Seiten 

54,99 US-$ 

ISBN 978-1-59059-774-3 


Von einzelnen UML-af- 
finen Entwicklern erstellte 
Diagramme erleichtern aber 
weder die externe Kommu- 
nikation mit den Kunden 
noch erzeugen sie eine 
intersubjektive Nachvoll- 
ziehbarkeit innerhalb des 
Projektteams. Sie verkom- 
plizieren die Projektab- 
wicklung unter Umständen 
mehr, als sie sie verein- 
fachen. 

Im ihrem Buch „Use Case 
Driven Object Modeling 
with UML“ zeigen Doug 
Rosenberg und Matt Ste- 


phens, dass es auch anders 
geht. Das von ihnen propa- 
gierte ICONIX-Modell setzt 
UML für die Modellierung 
sogenannter Use Cases ein. 
Ergänzt um ein Domain- 
Glossar und „robustness di- 
agrams“ zeigen sie für jede 
Phase eines Softwarepro- 
jekts theoretisch und prak- 
tisch, wie UML-Usecases 
sinnvoll und effizient ge- 
nutzt werden können. 

Der stringente und inte- 
grierte Ansatz überzeugt in 
theoretischer und prakti- 
scher Hinsicht, denn der er- 
fahrungsreiche Hintergrund 
der Autoren ist durch das 
ganze Buch spürbar. Die 
praktische Umsetzung stel- 
len die Autoren in der zwei- 
ten Hälfte mit einem kon- 
kreten Softwaretool, dem 
Enterprise Architect, vor. 

Trotz der moderaten 
Kosten wird nicht jeder ge- 
nau dieses Tool nutzen kön- 
nen oder dürfen. Die Über- 
nahme der Grundgedanken 
in den eigenen Entwick- 
lungskontext erleichtert je- 


denfalls die konkrete Dar- 
stellung. 

Ob der ausgesparte Rest 
der UML-Spezifikation tat- 
sächlich für die Praxis nicht 
sinnvoll nutzbar ist, wie die 
Autoren behaupten, und ob 
die im Buch formulierte 
deutlich Kritik an manchen 
agilen Entwicklungstechni- 
ken nicht durch eine nähere 
Betrachtung entschärft oder 
gar aufgelöst werden könn- 
te, muss an dieser Stelle of- 
fen bleiben. 

Wer schließlich wissen 
möchte, wie Entwickler die 
Modellierungssprache und 
Usecases im Rahmen eines 
durchgängig anforderungs- 
bezogenen und erprobten 
Softwareerstellungsprozes- 
ses effizient nutzen können, 
dürfte mit diesem Buch voll 
auf seine Kosten kommen. 

PETER EBENHOCH 
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Rezensionen 


Mastering 


O'REILLY" 


2: Teil schlampiger Ein- 
satz von Perl vor allem 
im Webumfeld hat das Entste- 
hen von Publikationen geför- 
dert, die den sachgemäßen 
Gebrauch der Sprache thema- 
tisieren. In diese Kategorie 
fällt auch der Band „Maste- 
ring Perl“ von Brian D. Foy, 
dem Herausgeber der Zeit- 
schrift „Perl Review“. 

Das Buch behandelt Fra- 
gestellungen aus den drei 
großen Bereichen „fortge- 
schrittene Sprachmittel“, 
„Entwicklungswerkzeuge“ 
und „Standardaufgaben der 
Programmierung“. In den 


Brian D. Foy 
Mastering Perl 


Sebastopol, CA 2007 
O’Reilly Media, Inc. 

342 Seiten 

38,-€ 

ISBN 978-0-596-52724-2 


beiden letztgenannten Berei- 
chen orientiert sich die The- 
menauswahl an den Bedürf- 
nissen des Praktikers. Foy 
bietet insgesamt eine hand- 
werklich solide Anleitung 
zum Lösen gängiger Aufga- 
ben der Softwareentwick- 
lung, nicht aber den im Vor- 
wort versprochenen „way of 
thinking about Perl pro- 
gramming“. Diesbezüglich 
helfen auch nicht die wohl- 
meinenden Hinweise im An- 
hang. Die Kapitel sind zwar 
weitgehend unabhängig von- 
einander lesbar, ihre Anord- 
nung folgt aber keinem of- 


fensichtlichen Prinzip, und 
sie schließen stets mit einer 
kurzen Zusammenfassung 
sowie nützlichen Literatur- 
hinweisen. Die Quelltextbei- 
spiele sind kurz und hilfreich, 
obwohl ihre Formatierung 
gewöhnungsbedürftig ist. 

Nach dem ersten Kapitel, 
das die Rolle eines erweiter- 
ten Vorworts hat, erklärt der 
Autor die Feinheiten regu- 
lärer Ausdrücke und die 
Grundlagen sicherer Pro- 
grammierung vor allem mit 
dem Taint-Modus. Es folgen 
drei Kapitel zu den ver- 
wandten Themen Debugging, 
Profiling und Benchmar- 
king, in denen er die ein- 
schlägigen Standard-Werk- 
zeuge vorstellt. Leider geht 
er auf die darunterliegende 
API nur am Rande ein. 

Es schließt sich ein kurzes 
Kapitel zum Umgang mit 
Quelltexten an, auf das zwei 
gelungene Abschnitte zu 
Symboltabellen und anony- 
men Subroutinen folgen, ei- 
ner Technik, die in den letz- 
ten Jahren zunehmend an 
Bedeutung gewonnen hat. 


Foy beschreibt danach, wie 
man in existierende Module 
eingreift, bevor er in zwei 
Kapiteln das Thema Fehler- 
behandlung aufgreift. Er 
geht dabei auch auf Excep- 
tions und die Protokollierung 
mit Log4perl ein. Es folgen 
Kapitel über Datenpersis- 
tenz, Programmdokumenta- 
tion sowie das Arbeiten mit 
Bitvektoren, wobei Letzteres 
kein perlspezifisches Thema 
ist. Kapitel über mit tie() ge- 
bundene Variablen und Mo- 
dule als Programme schlie- 
ßen den Haupttext ab. Die 
Anhänge enthalten Literatur- 
hinweise und die eingangs 
erwähnten Tipps zum Lösen 
von Programmierproblemen. 
Foy bringt vieles und man- 
chen etwas. Häufig geht er je- 
doch auf Details nicht ein, 
was er nicht zu Unrecht mit 
der Beschränkung der Seiten- 
zahl entschuldigt. Insgesamt 
bringt der Band eine gelunge- 
ne Mischung praxisrelevanter 
Themen für auf dem Weg zur. 
Meisterschaft fortschreitende 
Perl-Entwickler. 
DR. PETER DINTELMANN 
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Open-Source-DMS$ 
für Mittelständler 


Jedes Unternehmen muss Unmengen an 
Geschäftsunterlagen revisionssicher und 
über einen langen Zeitraum archivieren. 
Professionelle Dokumentenmanagement- 
software kostet in der Regel viel Geld, und 
quelloffene Angebote gibt es bislang kaum. 
Main Pyrus DMS steht unter der GPL und 
ist damit eine der wenigen Ausnahmen. 
Das Produkt besitzt einen klaren Archivie- 
rungsschwerpunkt und richtet sich vor 
allem an mittelständische Unternehmen. 


Rundum-sorglos-Pakete 
für KMU 


Für die zentrale Server-Infrastruktur grei- 
fen vor allen kleinere und mittlere Unter- 
nehmen mangels entsprechenden Know- 
hows oder beschränkter personeller 
Ressourcen der IT-Abteilung gern zu 
Komplettpaketen. Inzwischen tummeln 
sich in diesem Segment eine Reihe Linux- 
basierter Produkte, die Microsofts Small 
Business Server das Revier streitig machen 
wollen. iX stellt einige dieser Linux-Pakete 
dem Platzhirsch gegenüber und zeigt in 
einer Übersicht, welche Groupware-Lö- 
sungen im Markt für KMU zu finden sind. 


Heft 05/2008 
erscheint am 17. April 2008 


Streitkultur 
in Onlineforen 


Mailinglisten und Usenet/Newsgroups 
waren zu Beginn der 80er-Jahre der Ur- 
sprung technisch unterstützter Diskussions- 
plattformen. Im Zeitalter des Web (2.0) 
übernehmen Forensysteme diese Aufgabe. 
An der Netiquette hat sich kaum etwas ge- 
ändert: Die Streitkultur, über Jahrzehnte ge- 
wachsen, wird weiter gepflegt. Am Beispiel 
von neun Produkten - überwiegend Open 
Source - offenbart sich das Spektrum der 
recht konservativ gestalteten Forensoftware. 


CMS für die Community 


Seit ein, zwei Jahren wird das Content- 
Management-System Drupal in der Dis- 
kussion um das bessere Open-Source-CMS 
häufiger genannt. Mit der Version 6 des 
vor allem aufs Social Web ausgerichteten 
Systems haben die Entwickler an der Er- 
weiterbarkeit, Internationalisierung und 
Bedienung gearbeitet. 


Umgangssprachliche 
Schnittstellen 


Klare Strukturen, die unter anderem durch 
den Einsatz von Entwurfsmustern entste- 
hen, helfen den Überblick in Projekten zu 
bewahren. Idealerweise sind auch die Pro- 
gramme selbst gut lesbar. Die Kombina- 
tion des Builder Pattern mit einem soge- 
nannten Fluent Interface erleichtert die 
Definition verständlicher Schnittstellen. 


Kein wichtiges Thema mehr versäumen! 
Die aktuelle iX-Inhaltsübersicht per E-Mail 


Man verpasst ja 
sonst schon genug! 
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ulelsjahzluh für 
CT sonpvier 


N Jasanık 


Mobil surfen: Seit dem iPhone 
ist alles anders 
CPU-Überblick: Welcher x86- 
Prozessor für wen 


Allround-Router in Konkurrenz 
zum Server-PC 


Flash-Kartenleser: Welche sind 
wirklich schnell? 


Heft 07/08 jetzt am Kiosk 


Technology 
Review 


Auf ins All: Warum private Raum- 
fahrt ein spannender neuer Markt wird. 
Spam als Geschäft: Organisierte 
Kriminelle unterwandern das Internet. 
Bio, nicht Öko: Die deutsche 
Energiepolitik steckt voller 
Ungereimtheiten. 


TELEPOLIS 


MAGAZIN DER NETZKULTUR 


Frank Magdans: Point-and-Click, 
quo vadis? 
Tom Appleton: Wittgenstein 


und Hitler? - Hinweis auf ein ver- 
gessenes Buch 


www.heise.de/tp/ 
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